Более 200 промышленных компаний стали жертвами кампании по кибершпионажу

APT Separ целевые атаки
Более 200 промышленных компаний стали жертвами кампании по кибершпионажу
APT Separ целевые атаки

В кампании применяется новая версия вредоносного ПО Separ для кражи учетных данных.

Команда специалистов из Section 52 компании CyberX предупредила о продолжающейся кампании по кибершпионажу против промышленных и инженерных компаний. По словам экспертов, от атак киберпреступников пострадало более 200 компаний.

Хотя большинство жертв находятся в Южной Корее, пострадали фирмы из разных стран, включая Японию, Индонезию, Турцию, Германию, Эквадор и Великобританию. Одну из неназванных жертв исследователи описывают как «многомиллиардный корейский конгломерат, который производит критически важное инфраструктурное оборудование».

Вредоносная кампания начинается с отправки специально сформированных фишинговых писем для внедрения в корпоративные сети. Преступники отправляют сообщения, содержащие вложения на «промышленную тематику», в том числе официальные документы, схемы электростанций и запросы на проектирование объектов, таких как газоперерабатывающие и промышленные предприятия. Злоумышленники выдают себя за легитимные компании, например, в одном из случаев они маскировались под дочернюю компанию Siemens.

По словам экспертов, в кампании применяется новая версия вредоносного ПО Separ для кражи учетных данных. После установки в целях сохранения присутствия на системе вредонос добавляет ключи в реестр Windows, а затем приступает к сбору учетных данных. Separ использует бесплатные инструменты для расшифровки с целью получить пароли от браузеров, включая Mozilla Firefox, Google Chrome и Apple Safari, а также учетные данные для аккаунтов в Gmail, Yahoo, Windows Live и Hotmail.

Обновленная версия Separ также проверяет файлы с различными расширениями, включая изображения и документы Microsoft Office, а затем отправляет полученную информацию по FTP на контролируемый злоумышленниками домен.

Кроме того, вредоносная программа с помощью команды ipconfig проверяет подключенные к скомпрометированной системе сетевые адаптеры и пытается отключить Windows Firewall.

По словам экспертов, организатором кампании, скорее всего, является одна из APT-группировок (о какой группе идет речь, не уточняется).

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!