Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Государственные киберпреступники атакуют энергетический сектор США

24/09/19

energy-2Неизвестная спонсируемая государством киберпреступная группировка развернула масштабную операцию против электроэнергетических компаний США. По данным специалистов из Proofpoint, в период с 5 апреля по 29 августа нынешнего года злоумышленники разослали фишинговые письма по крайней мере 17 представителям энергетического сектора с целью заражения их сетей трояном для удаленного доступа LookBack.

Proofpoint официально не называет операторов вредоносной кампании, однако некоторые свидетельства указывают на причастность к ней китайских киберпреступников, а точнее, группировки APT10.

Нынешний отчет исследователей является продолжением отчета , опубликованного 2 августа. В то время сообщалось, что фишинговые письма получили только три компании в период с 19 по 25 июля. Однако, судя по новому отчету, вредоносная операция оказалась масштабнее, чем предполагалось изначально. Публикация августовского отчета никак не отразилась на активности киберпреступников (за исключением незначительных изменений в тактике), и кампания продолжилась до конца августа.

Если изначально фишинговые письма маскировались под сообщения от Национального совета экзаменаторов инженерии и исследований США (NCEES), то в августе злоумышленники стали рассылать письма от имени организации Global Energy Certification (GEC). В письма были вложены безобидные документы наряду с вредоносными.

После открытия вредоносного файла Word DOC от жертвы требовалось включить макросы, после чего встроенный VBA-скрипт загружал на систему троян LookBack. Данный вредонос написан на C++ и появился сравнительно недавно. Для передачи данных с инфицированного компьютера на удаленный сервер троян использует прокси. LookBack позволяет просматривать процессы, систему и файлы, удалять файлы, выполнять команды, делать снимки экрана, перемещать курсор и кликать мышью, перезагружать компьютер и способен удалять себя с зараженного хоста.

Темы:СШАПреступленияProofpointЭнергетикаКиберугрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...