На саммите Security Analyst Summit 2016 эксперты из центра исследований GReAT «Лаборатории Касперского» представили исследование обнаруженной недавно APT-группировки, получившей название Poseidon. Несмотря на то что на радарах исследователей она возникла не так давно, злоумышленники орудуют еще с 2005 года, а первый образец зловреда был найден в 2001 году. Целью Poseidon являются коммерческие тайны и объекты интеллектуальной собственности. Зловред поражает компьютеры под Windows, от Windows 95 до Windows 8.1 и Windows Server 2012.

Традиционно атака Poseidon начинается целевой фишинговой рассылкой; как считают исследователи, электронные сообщения подделаны весьма искусно, при этом злоумышленники прибегают к различным ухищрениям вроде социальной инженерии, чтобы жертва открыла вредоносный файл — RAR-архив, замаскированный под документ формата .doc или .rtf.

Содержащийся в нем зловред имеет функции обхода антивируса и даже может атаковать его. После запуска он связывается с командным сервером и начинает собирать данные с компьютеров в сети жертвы, чтобы найти действительно стоящую внимания машину. Злоумышленники стремятся скомпрометировать контроллер локального домена, чтобы впоследствии украсть объекты интеллектуальной собственности, данные, составляющие коммерческую тайну, и другую ценную информацию.

Любопытно, что все атаки группировки адаптируются с учетом особенностей конкретной жертвы. Именно поэтому выявление Poseidon заняло столько времени: эксперты не видели ничего общего в разрозненных инцидентах, которые в итоге оказались частью единой картины. Из-за подобной «кастомизации» атак специалисты GReAT решили назвать Poseidon «бутик-APT».

Есть сведения, что похищенные данные позже использовались для шантажа жертвы: в некоторых случаях хакеры пытались таким образом вынудить пострадавшую компанию нанять группировку в качестве подрядчика по обеспечению информационной безопасности. Впрочем, это не останавливало их, и они продолжали атаки даже против тех, кто уступил их требованиям. Кроме того, похищенная информация могла стать объектом торга и последующей продажи всем желающим.

Еще одной уникальной особенностью Poseidon является то, что это первая APT-группировка, атакующая главным образом португалоязычные компании или совместные предприятия, учрежденные бразильскими предпринимателями. Жертвами Poseidon также стали компании во Франции, Индии, Казахстане, России, ОАЭ и США — в общей сложности около 35 жертв. Но, учитывая уникальный подход группировки к каждой из своих жертв, а также ее умение оставаться незамеченной в течение долгого времени, пострадавших может быть гораздо больше.

Хотя специалисты «Лаборатории Касперского» смогли при помощи метода sinkhole выявить несколько командных серверов, злоумышленники часто меняют их, чтобы оставаться активными.

Категории: Вредоносные программы, Главное, Хакеры