«Доктор Веб»: предприятия ТЭК России подверглись спам-атаке с целью промышленного шпионажа

Компания «Доктор Веб» — российский разработчик антивирусных средств защиты информации под маркой Dr.Web — провела исследование спам-атаки с элементами социнженерии, нацеленной на ряд предприятий топливно-энергетического комплекса России. Первую волну кампании специалисты зафиксировали в апреле текущего года, последняя наблюдаемая активность злоумышленников датируется сентябрем.

Рассылка писем проходила в два этапа. Изначально спам-сообщения содержали офисные документы, автоматически загружающие изображения, и предназначались для выявления тех, кто в дальнейшем гарантированно откроет письма с вредоносным вложением. Письма следующей фазы атаки содержали уже вредоносное вложение, также в виде офисного документа.

Исследование инцидента началось после того как один из пользователей антивируса Dr.Web обратился к нашим специалистам, передав образцы полученных писем.

 Аналитики пришли к выводу, что вероятным сценарием являлась установка специализированных троянов на локальные серверы, критичные для функционирования информационной системы пользователя (контроллеры домена, почтовые серверы, интернет-шлюзы) с целью последующего хищения документов и электронных писем. Таким образом, речь идет о промышленном шпионаже.  «Проведенное исследование также позволяет сделать выводы о “китайском следе” этой атаки. Об этом говорит совокупность признаков, в частности, схожесть доменов управляющих серверов, использованных атакующими, с теми, которые использовались при целевой атаке на государственные и финансовые учреждения России и Монголии в 2015 году», - комментирует выводы исследователей руководитель антивирусной лаборатории «Доктор Веб» Игорь Здобнов.

В ходе атаки на предприятия ТЭК использовался троянец-загрузчик, предназначенный для последующей загрузки других вредоносных программ. Также специалистам «Доктор Веб» удалось выявить два вида троянцев-бэкдоров – один из них является новейшим, а второй использовался в APT-атаке на госучреждения Казахстана и Киргизии, о которой мы сообщали ранее.

 Подобные атаки весьма опасны для предприятий. Если хотя бы один сотрудник откроет письмо с вредоносным вложением, потребуется тщательное лечение всей сети или того изолированного сегмента, в котором находилось инфицированное устройство.  Во избежание подобных атак необходимо организовать фильтрацию почты на вирусы и спам на почтовом сервере, одновременно обеспечив антивирусную защиту самого сервера. У «Доктор Веб» для этого предназначены продукты Dr.Web Mail Security Suite и Dr.Web Server Security Suite. Письма с вредоносными вложениями не должны попадать на компьютеры сотрудников, а злоумышленники не должны проникнуть на сервер обработки почты. Компьютеры сотрудников должны быть защищены корпоративны антивирусом, что не позволит атакующим избежать внимания со стороны специалистов по безопасности компании.  Злоумышленники обычно тщательно готовятся к атаке, вредоносные файлы проходят специальное тестирование и не обнаруживаются используемым средствами защиты (список которых киберпреступники могут определить заранее, например, по условиям проведенных тендеров). Так было и на этот раз. Но отправка файлов в облачный анализатор Dr.Web vxCube мгновенно показала их вредоносную сущность: сервис позволяет воспроизвести действия файла в песочнице «Доктор Веб» и в считанные минуты получить отчет о всех его действиях.  До установки новых приложений или обновлений к ним мы рекомендуем использовать Dr.Web vxCube для выяснения функционала и истинного назначения файлов различного типа, в том числе офисных документов.Атака проводилась с зарубежных серверов и имитировала сервисы другого государства, причем новостные, чтение которых явно не входит в должностные обязанности подавляющего большинства сотрудников – граждан РФ. Мы рекомендуем применять ограничения Офисного контроля Dr.Web для составления списка используемых в повседневной работе ресурсов.

Подробнее о механизмах атаки можно прочитать в материале на сайте «Доктор Веб» https://news.drweb.ru/show/?i=14010&c=0&p=0