Специалисты Kaspersky ICS CERT сообщили о проведении целевых кибератак на японские и европейские предприятия, работающие в промышленной сфере. Эксперты «Лаборатории Касперского» крайне удивлены степенью подготовки киберпреступников и общим уровнем сложности проводимых атак, их масштабностью.
Специалисты из Kaspersky ICS CERT первый раз зарегистрировали подобные кибератаки зимой 2020 г. Весной киберпреступники начали активно атаковать японские, британские, немецкие, итальянские промышленные предприятия. Киберпреступная группа атакует крупных и известных в мире поставщиков оборудования и ПО, которые рассчитаны на использование на предприятиях, работающих в промышленной отрасли.
На начальной стадии атаки применяется традиционный целевой фишинг – сотрудникам организаций рассылаются письма на электронную почту с прикрепленными вредоносными документами MS Office. Киберпреступники пользуются скриптами PowerShell и иными методами, помогающими практически полностью избежать обнаружения и проведения анализа вредоносного ПО встроенным антивирусным софтом.
В соответствии с отчетом специалистов «Лаборатории Касперского», злоумышленники каждое email-письмо подготавливают под определенного получателя, принимая во внимание родной язык сотрудника организации и иные специфические особенности его личности, профессиональной деятельности.
Главная задача рассылаемых писем – заставить сотрудника промышленного предприятия открыть на своем устройстве документ MS Office и запустить выполнение макросов. Также киберпреступники пользуются вредоносным софтом Mimikatz, позволяющим красть данные из учетных записей Windows.
Эксперты из «Лаборатории Касперского» рассказали в своем отчете о необычном нюансе: скрипт PowerShell, который применяется киберпреступниками, с хостингов картинок Imgbox и Imgur загружает определенное изображение, содержащее в себе данные, при извлечении которых вредоносный софт создает дополнительный PowerShell-скрипт – обфусцированный вариант Mimikatz.