Китайские хакеры могут быть причастны к атакам на сайты органов власти России
В рамках этой волны были выявлены атаки на более чем дюжину организаций. Эксперты предполагают, что целью атак был кибершпионаж.
«Атакующим удалось в ряде случаев полностью захватить IT-инфраструктуру. Для этого они использовали хорошо подготовленные фишинговые письма», — говорится в сообщении «Лаборатории Касперского».
В письмах содержалась внутренняя информация, не доступная в публичных источниках на момент ее использования злоумышленниками, в том числе Ф.И.О. сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов. К письмам были прикреплены файлы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017-11882.
«Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление зараженной системой, от пользователя даже не требуется включать выполнение макросов», — рассказали в компании.
Главным инструментом развития атаки хакеры использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей, считают в «Лаборатории Касперского».
«На финальном этапе они захватывали контроллер домена и далее получали полный контроль над интересующими злоумышленников рабочими станциями и серверами организации. Получив необходимые права, злоумышленники приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развёрнутые в разных странах»,- сказали в компании.
Там отметили, что эти же серверы использовались для управления вредоносным ПО.
«Целевой фишинг остается одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. Серия атак, которую мы обнаружили, — не первая, по всей видимости, во вредоносной кампании. Поскольку злоумышленники достигают успеха, мы предполагаем, что такие атаки могут повториться и в будущем», — предупредил через пресс-службу старший эксперт Kaspersky ICS CERT Вячеслав Копейцев.
Добавить комментарий