Хакеры атакуют предприятия морской и оборонной промышленности США и Западной Европы
Исследователи безопасности из Proofpoint сообщили о росте активности хакерской группировки Leviathan, регулярно проводящей кампании по распространению вредоносного ПО с целью хищения конфиденциальных данных у компаний и организаций, связанных с кораблестроением и военно-морским флотом.
Группировка активна по меньшей мере с 2014 года и проявляет наибольший интерес к сфере судостроения, военным подрядчикам, исследовательским институтам, а также к правительственным и юридическим организациям. Кампания в основном ориентирована на организации из США и Западной Европы, однако ряд целей находится в районе Южно-Китайского моря.
Распространяемые в ходе вредоносной кампании в сентябре текущего года фишинговые письма содержали вредоносные документы Microsoft Excel и Word, замаскированные под вакансии, резюме и военную документацию.
Злоумышленники эксплуатировали уязвимость CVE-2017-8759, позволяющую внедрить вредоносный код для выполнения скриптов Visual Basic, содержащих команды PowerShell и установить вредоносное ПО. Как отметили исследователи, вредоносная кампания началась через несколько дней после обнаружения данной уязвимости. Это свидетельствует о готовности хакеров оперативно осваивать новые методы осуществления атак.
Скомпрометировав систему, злоумышленники устанавливали бэкдор Orz, также известный как Core, способный собирать информацию, загружать и обновлять файлы, а также выполнять команды. Атакующие также использовали троян NanHaiShu, позволяющий отправлять информацию с инфицированного устройства на C&C-серверы.
В августе текущего года Leviathan провела вредоносную кампанию, направленную на ряд оборонных подрядчиков. Фишинговые сообщения, содержавшие вредоносный URL, были замаскированы под документы компаний, занимающихся строительством военных кораблей, подводных лодок и других морских судов. В ходе кампании была проэксплуатирована уязвимость CVE-2017-0199, позволяющая удаленно выполнить код и получить полный контроль над зараженной системой.
Ранее стало известно о взломе сети австралийского военного подрядчика хакерской группировкой ALF. В ходе атаки было похищено порядка 30 ГБ секретной военной документации о боевых самолетах, бомбах и военно-морских судах.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
