Контакты
Подписка
МЕНЮ
Контакты
Подписка

Подробности технического анализа вредоноса GreyEnergy

14/02/19

it8-1Исследователи в области кибербезопасности продолжают изучать инфраструктуру группировки GreyEnergy, предположительно имеющей отношение к кибератакам на энергосистему Украины в 2015 году. В ходе реверс-инжиниринга вредоносного ПО GreyEnergy эксперт компании Nozomi Networks Алессандро Ди Пинто (Alessandro Di Pinto) обнаружил огромное количество «мусорного» кода, призванного запутать аналитиков и сбить их со следа.

«Широкое использование атакующими методов, затрудняющих проведение экспертизы, подчеркивает их стремление сохранять скрытность и обеспечить незаметное заражение вредоносным ПО», - заметил исследователь.

Ди Пинто проанализировал вредоносный документ Microsoft Word, использовавшийся в одной из фишинговых атак GreyEnergy. При открытие документа на систему загружался бэкдор, представляющий собой исполняемый файл-«упаковщик» (исполняемый файл, содержащий один или несколько сжатых или зашифрованных файлов). Подобные «упаковщики» легально могут использоваться для защиты интеллектуальной собственности, однако нередко к ним прибегают злоумышленники для сокрытия вредоносного кода.

Ди Пинто отметил умелость GreyEnergy в выборе тактики и инструментов для атак с использованием фишинговой рассылки.

«Исходя из того, насколько хорошо вредоносная программа маскирует себя после заражения системы, лучшим способом защиты от APT-группировки GreyEnergy для промышленных организаций будет обучение сотрудников опасностям фишинговых кампаний, в том числе способам распознавания вредоносных писем и вложений», - подчеркнул Ди Пинто.

Аналитикам пока не удалось выявить повторные атаки GreyEnergy на промышленные системы автоматизации. По словам Ди Пинто, киберпреступники часто взламывают IT-системы промышленных организаций для изучения работы АСУ ТП.

Подробнее: https://www.securitylab.ru/news/497934.php

Темы:ОтрасльGreyEnergy

Еще темы...