Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

«Лаборатория Касперского» обнаружила новый червь CMoon, распространявшийся через веб-сайт энергетической компании

08/08/24

ЛК6-Aug-08-2024-10-44-56-4465-AM

В конце июля «Лаборатория Касперского» обнаружила* ранее неизвестное вредоносное программное обеспечение, которое распространялось через сайт одной из российских энергетических компаний.Оно получило название CMoon. Злоумышленники подменили в нескольких разделах ресурса ссылки на скачивание нормативных документов на другие, ведущие на вредоносные исполняемые файлы. Зловред мог выгружать с заражённого устройства пользователя конфиденциальные и платёжные данные, запускать DDoS-атаки на интернет-ресурсы, а также распространяться на другие устройства. Атака могла быть направлена на подрядчиков и партнёров организации. Обнаружив заражение, «Лаборатория Касперского» сразу сообщила о нём владельцам ресурса и вредоносные файлы по ссылкам были удалены.

Злоумышленники подменили на сайте энергетической компании около двух десятков ссылок, по каждой из которых скачивался самораспаковывающийся архив. Он содержал в себе исходный документ, а также один и тот же исполняемый файл — новое вредоносное ПО, которое аналитики «Лаборатории Касперского» назвали CMoon за соответствующие строки в коде вредоносного файла.

Сложность атаки указывает на то, что она была нацелена на посетителей сайта конкретной организации и была тщательно подготовлена. Червь мог искать и отправлять на сервер злоумышленников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и с внешних носителей, содержащие в тексте подстроки «секрет», «служебн», «парол» и другие ключевые слова — это является признаком целевой атаки. Также могли скачиваться файлы со сведениями о защите системы, действиях пользователя и его учётных данных. Кроме того, зловред мог делать скриншоты экрана.

Из веб-браузеров могли собираться файлы, содержащие сохранённые пароли, файлы cookie, закладки, история посещений, а также сведения для автозаполнения форм, включая данные о кредитных картах.

Червь мог мониторить подключённые USB-накопители. Это позволяло украсть потенциально интересные злоумышленникам файлы со съёмных носителей, а также скопировать на них червь и заразить другие компьютеры, к которым накопитель мог быть подключён.

Подробная информация доступна в посте на Securelist.

По данным «Лаборатории Касперского», с угрозой столкнулось незначительное количество пользователей. При этом важно, чтобы организации учли новые техники атак в своей политике безопасности, чтобы свести к минимуму риски. Для защиты от таких атак рекомендуется:

  • регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
  • использовать комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности;
  • предоставлять сотрудникам отдела кибербезопасности доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
  • регулярно создавать резервные копии важных данных, чтобы обеспечить сохранность корпоративной информации в случае чрезвычайных ситуаций.

Вредоносное ПО было обнаружено с помощью систем мониторинга «Лаборатории Касперского».

Темы:Пресс-релизПреступленияDDoS-атакиЛККиберугрозы
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...