«Лаборатория Касперского» представила детальный отчет, посвященный техникам, тактикам и процедурам кибератак на промышленные компании, а также использованию имплантов для удаленного доступа. Эксперты по кибербезопасности сообщили, что в 2022 году они расследовали несколько кибератак, проведенных против восточноевропейских промышленных предприятий.
В ходе этих атак злоумышленники старались создать непрерывно работающий канал для вывода украденной конфиденциальной информации, включая данные, которые размещались на физически изолированных системах.
В рамках этой киберпреступной операции хакеры осуществляли вывод украденной информации и доставку вредоносного софта на следующем этапе через облачные хранилища данных, такие как Яндекс.Диск и Dropbox, а также через файлообменные сервисы. Помимо этого, они использовали командные серверы, размещенные на облачных виртуальных выделенных серверах.
Киберпреступники также применяли стек имплантов, которые могли собирать информацию с физически изолированных сетей, используя зараженные сменные носители данных. Многие такие импланты имели схожие реализации техники подмены DLL, часто связанные с вредоносным ПО Shadowpad, и способы внедрения в память, а также шифрование RC4, за счёт которого злоумышленники могли скрыть вредоносную нагрузку, минуя обнаружение. Помимо этого, библиотеки, такие как libssl.dll или libcurl.dll, были статически привязаны к имплантам для реализации шифрованного обмена информацией с сервером управления.
В общей сложности «Лаборатория Касперского» выявила более 15 разновидностей имплантов, установленных киберпреступниками в различных комбинациях. Эти импланты были разделены на три категории, основываясь на их функциональности:
- импланты первого этапа обеспечивали непрерывный удаленный доступ и первичный сбор информации;
- импланты второго этапа собирали данные и файлы, в том числе с физически изолированных систем;
- импланты третьего этапа служили инструментами для выгрузки информации на командные серверы.
В представленном отчете проанализированы распространенные тактики, техники и процедуры, используемые киберпреступниками в имплантах на разных этапах для организации непрерывного канала для удаленного доступа к инфраструктуре промышленных предприятий.
Полный текст отчета доступен на портале Kaspersky.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
