22/04/20
Специалисты компании Cisco Talos сообщили о новой вредоносной кампании против правительственных учреждений и промышленных предприятий Азербайджана, в ходе которой злоумышленники используют тему коронавируса с целью заражения сетей трояном для удаленного доступа (RAT).
По данным исследователей, вредонос предназначен для атак на использующиеся в электроэнергетическом секторе SCADA-системы, в частности на ветротурбинные системы, производитель которых пока еще не определен.
Злоумышленники рассылают вредоносные документы Microsoft Word, загружающие на атакуемую систему написанный на Python ранее неизвестный троян PoetRAT. Свое название вредонос получил из-за многочисленных отсылок к сонетам Уильяма Шекспира.
PoetRAT оснащен всеми функциями, характерными для RAT. Он может похищать конфиденциальные документы, нажатия клавиш на клавиатуре, пароли и даже изображения с web-камер, а также предоставляет своим операторам полный контроль над скомпрометированной системой.
Как именно вредоносные документы Microsoft Word попадают на систему, неизвестно. Однако, поскольку они доступны для загрузки по обычной ссылке, исследователи предположили, что злоумышленники рассылают фишинговые письма или вредоносные URL.
Атаки начались в феврале нынешнего года, и с тех пор исследователи зафиксировали три волны. Некоторые поддельные документы были якобы от правительственных учреждений Азербайджана или от Организации оборонных исследований и разработок Индии. Некоторые файлы назывались C19.docx и не имели никакого содержимого.
Встроенный в документ макрос Visual Basic Script записывает вредоносное ПО на диск в виде архива smile.zip, состоящего из интерпретатора Python и самого трояна. Вредонос проверяет, не запущен ли он на виртуальной машине, и в случае выявления песочницы автоматически удаляется с системы.
