Исследователи раскрывают долгосрочный план кибершпионажа

Исследователи безопасности недавно обнародовали информацию о долгосрочной кампании кибершпионажа, нацеленной на компании топливной отрасли по всему миру. Кампания была сосредоточена на предотвращении долгосрочного обнаружения и внедрении троянов удаленного доступа в сети жертв с целью длительного кражи данных и шпионажа.

Исследователи из компании Intezer, занимающейся безопасностью, обнаружили, что злоумышленники использовали узконаправленные кампании по целевому фишингу, в которых троянские программы удаленного доступа переносились в виде вредоносных вложений. Спектр вредоносных программ RAT, используемых в кампании, сильно различается и включает в себя такие печально известные имена, как Agent Tesla, Loki и AZORult. Эти инструменты могут не только красть конфиденциальную информацию и логины браузера, но и регистрировать нажатия клавиш.

Кампания почти полностью сосредоточена на нефтегазовых компаниях, но есть несколько целевых отклонений, которые работают в секторах информационных технологий и СМИ. Любопытно, что большинство целевых компаний расположены в Южной Корее, а другие цели расположены по всему миру, включая Европу и США, а также Объединенные Арабские Эмираты.

Исследователи также отметили, что одна из целей вредоносной кампании заметно отличалась от остальных. Странный из них называется FEBC и представляет собой радиовещательную организацию, расположенную в Южной Корее, которая, по мнению исследователей из Intezer, стремится «ниспровергнуть религиозный запрет» в северном соседе страны.

Электронные письма с целевым фишингом используют поддельные поля отправителя и выглядят так, как будто они действительно исходят с адресов и компаний, которые были бы хорошо известны жертвам. В некоторых электронных письмах использовались домены с опечатками - домен, в котором один символ отличается от допустимого, например, точка заменена тире или буква "L" заменена на 1.

В теле вредоносных писем обычно содержится то, что выглядит как законное деловое предложение. Полезные данные содержатся в поддельных файлах PDF, которые на самом деле являются архивами .cab или изображениями .iso. Intezer также указал, что полезная нагрузка развертывается с использованием безфайловых методов, развертываясь непосредственно в системной памяти, не оставляя на жестком диске никаких файлов, которые могут нарушить потенциальную защиту.

Intezer также отметил, что электронные письма были особенно хорошо отформатированы, и большое внимание было уделено тому, чтобы они выглядели как законная деловая переписка. В текстах этих электронных писем есть много мелких деталей, которые указывают на то, что злоумышленник, стоящий за этим, не является дилетантом и хорошо понимает, как выглядит законная громкая деловая переписка.