В марте 2023 года была зафиксирована крупная хакерская атака, нацеленная на российские промышленные предприятия. Атака отличалась инновационным подходом к распространению вредоносного ПО, что подчеркивает необходимость повышения уровня кибербезопасности в организациях.
Методы атаки
Злоумышленники использовали метод рассылки вредоносной почты с вложением, обозначенным как Application_ отредактировано _5_03.zip. На первый взгляд, это вложение выглядело как стандартный ZIP-архив, но на деле использовало технологию многоязычия, что позволяло файлу иметь разные интерпретации в зависимости от контекста обращения. При детальном анализе оказалось, что файл является двоичным исполняемым, содержащим:
- вредоносный код;
- безвредные компоненты.
Функции бэкдора
Исполняемая часть файла, названная Polyglot, функционирует как бэкдор, написанный на Python версии 3.8 и скомпилированный с использованием PyInstaller. Бэкдор осуществляет следующие действия:
- Генерирует уникальный идентификатор (UID);
- Извлекает общедоступный IP-адрес через API-сервис;
- Получает частный IP-адрес с помощью сокетов.
После регистрации в командном центре бэкдор постоянно запрашивает определенный HTTP-адрес для выполнения команд. Команды, начинающиеся с установленного префикса, запускают альтернативные методы исполнения, использующие возможности подпроцессов Python. Также бэкдор может загружать дополнительные вредоносные компоненты с указанных адресов и сохранять их на взломанном компьютере.
Связь с группой Awaken Likho
В ходе расследования была получена одна из команд, указывающая на загрузку Meshagent — легального инструмента удаленного доступа, который часто используется в злонамеренных целях. Следующий анализ показал, что этот инструмент связан с хакерской группой Awaken Likho, затронувшей около 800 пользователей из множества организаций, что демонстрирует широкий охват атаки.
Общие выводы и рекомендации
Дальнейшее исследование образцов Meshagent выявило сходство файлов настроек, что указывает на наличие общей инфраструктуры или методологии у различных атакующих кампаний. Одним из таких примеров оказался домен, связанный с операциями Head Mare, что подтверждает взаимосвязь с этой хакерской группой.
В этом контексте важно подчеркнуть, что злоумышленники применяли новые методы, такие как техника полиглота и бэкдор на базе Python. Это свидетельствует о непрерывной эволюции их тактики, приемов и процедур. Перед организациями стоит задача сохранить доступ к актуальным данным аналитики угроз, что позволяет эффективно предвидеть и минимизировать потенциальные риски.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Масштабная кибератака на промышленные предприятия России".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.