События

GreyEnergy атакует украинские предприятия с помощью фишинга

APT-группировка GreyEnergy в течение уже нескольких лет атакует промышленные предприятия по всей Украине и в странах Восточной Европы. Специалисты компании Nozomi Networks проанализировали активность GreyEnergy и выявили инструменты и тактики, позволившие группировке оставаться незамеченной так долго.

Злоумышленники атаковали промышленные предприятия в Польше и Украине с помощью особого ПО для АСУ ТП. Вредонос попадал на компьютеры через фишинговые письма, написанные на украинском языке. В письмах содержался вредоносный документ Microsoft Word, который после открытия требовал от пользователя «актировать содержимое». Вредоносные письма также требовали от жертвы заполнить вложенную интерактивную форму.

Целенаправленный фишинг – очень популярный у APT-группировок вектор атак. Тем не менее, код GreyEnergy не похож ни на один другой, сообщили аналитики Nozomi Networks. Код хорошо написан и скомпилирован и способен обходить обнаружение продуктами безопасности.

После открытия вредоносного документа (до того, как жертва активирует макросы) на атакуемую систему из удаленного источника загружается образ. Затем вредоносный код легко извлекается и распаковывается с помощью инструмента oledump.

«Закончив анализ, я понял, что упаковщик GreyEnergy отлично замедляет процесс реверс-инжиниринга. Используемые им техники не новы, однако и инструменты, и тактика выбраны с большим умом», - сообщил специалист Nozomi Networks Алессандро Ди Пинто (Alessandro Di Pinto).

Злоумышленники используют созданные ими кастомизированные алгоритмы, которые несложно отразить, но которые довольно надежно защищают полезную нагрузку. Кроме того, применяемые ими техники обхода обнаружения, такие как стирание строк из памяти, позволяют эффективно скрывать атаки.

Ранее активность GreyEnergy также была выявлена специалистами компании ESET. По их мнению, используемое группировкой ПО является прямым «наследником» печально известного BlackEnergy.

Источник

Автор: Сергей Куприянов
26.11.2018 (23:46)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.