Крупный американский поставщик полупроводников пострадал от вторжения шпионского трояна LokiBot. Злоумышленники доставили зловреда в инфраструктуру предприятия с помощью вредоносного письма с email-адреса одного из контрагентов предприятия.

Что такое LokiBot

Впервые LokiBot попал на радары ИБ-специалистов в 2015 году. Создатели трояна, которого не следует путать с одноименным Android-зловредом, обеспечили ему возможность красть информацию о зараженной системе, учетные данные электронных кошельков, идентификаторы из браузеров, почтовых клиентов и т. д. Программа также умеет отслеживать нажатия клавиш.

По мнению специалистов, в 2017 году троян украли у разработчиков. Нынешние операторы LokiBot нередко прибегают к оригинальным методам доставки, например встраивают зловред в PNG-файлы или ISO-образы.

Атака LokiBot на производителя полупроводников

Текущую кампанию обнаружили в конце августа. Она была построена на более традиционных методах — сотрудник организации получил вредоносное электронное письмо. Отправитель сообщения ссылался на отсутствие своего коллеги и просил срочно просмотреть файл во вложении. Там находился вредоносный дистрибутив, замаскированный под архив с документом.

Исследователи отмечают, что при внимательном изучении адресат письма мог заподозрить неладное. В частности, в тексте письма злоумышленники упоминали один документ, тогда как во вложении находился другой. Файл зловреда, скрывавшийся в архиве, назывался Dora Explorer Games. Это название отсылает к героине детского мультфильма Dora the Explorer и не очень подходит для целевой атаки на промышленную организацию. Тем не менее, получивший письмо сотрудник не обратил внимания на эти нестыковки и запустил зловреда. Последствия инцидента компания оставила в секрете.

Результаты расследования

По словам аналитиков, замеченный в атаке IP-адрес в июне уже использовался в похожей кампании. Предыдущие атаки были направлены на компанию German Bakery. Как и в новом случае, злоумышленники пытались заставить корпоративных пользователей открыть вредоносное вложение, только тогда это был RTF-файл. Кроме того, письма, полученные сотрудниками German Bakery, были составлены на китайском.

Исследователи предполагают, что обе кампании организовала одна и та же группа, хотя говорить об этом с уверенностью не могут: выборка слишком мала. По их мнению, преступники могут использовать эту инфраструктуру для направленных атак.

«Злоумышленники используют социальную инженерию, — заключают эксперты. — Крайне важно, чтобы сотрудники организации знали о таком типе угроз, проходили регулярные тренинги и внезапные проверки безопасности».

Промышленность под ударом киберпреступников

В 2019 году произошло сразу несколько крупных кибератак на промышленные предприятия. Сначала шифровальщик LockerGoga атаковал норвежскую компанию Norsk Hydro, вынудив ее остановить процессы на производственных участках в нескольких странах. Через несколько дней этот же зловред проник на химические предприятия в США, после чего IT-специалисты потратили несколько недель, чтобы вернуть инфраструктуру в рабочее состояние.

Позднее стало известно о проблемах на заводе в Японии, которые были связаны с активностью зловреда-криптоджекера. Пострадало около 100 компьютеров, а обороты предприятия в результате инцидента упали на 60%.

На Ближнем Востоке ИБ-эксперты обнаружили новую группировку Hexane/Lyceum, которая активно атакует нефтегазовую отрасль. Преступники взламывают телекоммуникационные компании и проводят MitM-атаки с использованием авторского вредоносного ПО.

Категории: Вредоносные программы, Хакеры