18/12/19
Команда специалистов из Section 52 компании CyberX предупредила о продолжающейся кампании по кибершпионажу против промышленных и инженерных компаний. По словам экспертов, от атак киберпреступников пострадало более 200 компаний.
Хотя большинство жертв находятся в Южной Корее, пострадали фирмы из разных стран, включая Японию, Индонезию, Турцию, Германию, Эквадор и Великобританию. Одну из неназванных жертв исследователи описывают как «многомиллиардный корейский конгломерат, который производит критически важное инфраструктурное оборудование».
Вредоносная кампания начинается с отправки специально сформированных фишинговых писем для внедрения в корпоративные сети. Преступники отправляют сообщения, содержащие вложения на «промышленную тематику», в том числе официальные документы, схемы электростанций и запросы на проектирование объектов, таких как газоперерабатывающие и промышленные предприятия. Злоумышленники выдают себя за легитимные компании, например, в одном из случаев они маскировались под дочернюю компанию Siemens.
По словам экспертов, в кампании применяется новая версия вредоносного ПО Separ для кражи учетных данных. После установки в целях сохранения присутствия на системе вредонос добавляет ключи в реестр Windows, а затем приступает к сбору учетных данных. Separ использует бесплатные инструменты для расшифровки с целью получить пароли от браузеров, включая Mozilla Firefox, Google Chrome и Apple Safari, а также учетные данные для аккаунтов в Gmail, Yahoo, Windows Live и Hotmail.
Обновленная версия Separ также проверяет файлы с различными расширениями, включая изображения и документы Microsoft Office, а затем отправляет полученную информацию по FTP на контролируемый злоумышленниками домен.
Кроме того, вредоносная программа с помощью команды ipconfig проверяет подключенные к скомпрометированной системе сетевые адаптеры и пытается отключить Windows Firewall.
По словам экспертов, организатором кампании, скорее всего, является одна из APT-группировок (о какой группе идет речь, не уточняется).
