«Лаборатория Касперского» 8 октября сообщила о выявлении русскоязычной хакерской группировки, которая проводит кибератаки на российские промышленные предприятия в рамках крупномасштабной шпионской кампании.
Представители «Лаборатории Касперского» отмечают, что группировка имеет собственный набор вредоносных инструментов. Группа имеет название MontysThree, ее активность наблюдается как минимум с 2018 г. но в компании Kaspersky не обнаружили никаких связей между этой группировкой и другими известными российскими проправительственными APT-группами.
Денис Легезо, ИБ-специалист компании Kaspersky, отметил: «Хакеры из MontysThree были замечены только в атаках на IT-системы российских промышленных предприятий, но при этом нет никаких свидетельств тому, что их целями также являются системы промышленного контроля ICS».
По информации «Лаборатории Касперского», группировка MontysThree использует четырехмодульное вредоносное ПО. Один из модулей имеет функционал загрузчика и отвечает за доставку основной полезной нагрузки. Загрузчик скрывается внутри самораспаковывающегося RAR-архива, в котором якобы содержится информация о медицинских тестах, техническая документация и другая информация, которая позволяет убедить сотрудников целевой промышленной организации загрузить файл.
Загрузчик использует стеганографию, чтобы избежать обнаружения, при этом основная полезная нагрузка скрыта внутри файла растрового изображения. Основная полезная нагрузка применяет шифрование, чтобы избежать обнаружения.
Вредоносная программа группировки MontysThree позволяет хакерам красть из зараженной системы документы Microsoft Office и PDF, делать скриншоты и собирать информацию о взломанном устройстве, чтобы определить, может ли зараженный компьютер быть им полезен. По словам «Лаборатории Касперского», украденная информация размещается в публичных облачных сервисах Google, Microsoft и Dropbox, что затрудняет обнаружение проводимых кибератак.
«Лаборатория Касперского» резюмирует, что MontysThree не так опасна, как другие киберпреступные группировки, в том числе и русскоязычные, но это всё же угроза, которую не следует игнорировать.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
