ESET под атакой: детали предполагаемого взлома

ESET опровергла обвинения в компрометации своих систем после того, как ИБ-специалист Кевин Бомонт рассказал о кампании с вайпером, которая выглядела как операция, проведённая с использованием инфраструктуры ESET.

Согласно блогу Бомонта, один из сотрудников израильской компании стал жертвой вредоносной программы после того, как открыл ссылку в письме, якобы отправленном командой ESET Advanced Threat Defense в Израиле. Письмо успешно прошло проверку DKIM и SPF для домена ESET, однако Google Workspace пометил его как опасное.

Атака была зафиксирована 8 октября и нацелена на ИБ-специалистов в Израиле. Вредоносный файл распространялся через серверы ESET, при этом получатели были предупреждены, что атака проводится «поддерживаемым государством» злоумышленником. Жертвам также предлагалось принять участие в программе ESET Unleashed, которая на самом деле не существует как отдельная инициатива, хотя упоминалась в брендинге компании.

Исследователь обнаружил в загружаемом файле несколько DLL-библиотек ESET и вредоносный setup.exe. Бомонт охарактеризовал программу как поддельный вирус-вымогатель, имитирующий работу известного вредоноса Yanluowang. Бомонт также отметил, что файлы на устройствах восстановить невозможно, поскольку это вайпер.

В ходе исполнения вредонос также обращался к организации, связанной с днём Iron Swords War, приуроченным к памяти жертв атаки 7 октября 2023 года. Факты наводят на мысль о возможной причастности хактивистов.

ESET опровергла версию Бомонта о взломе израильского офиса компании. Компания подчеркнула, что инцидент затронул партнёрскую организацию в Израиле, а вредоносная кампания была заблокирована в течение 10 минут. ESET заверила, что успешно блокирует угрозу, и клиенты находятся в безопасности. Компания также подтвердила, что работает с партнёром над расследованием и продолжает мониторинг ситуации.

Источник вредоносной активности пока не установлен, но методы, применённые в атаке, схожи с тактикой пропалестинской группы Handala. Исследователи из Trellix ранее сообщали, что Handala активно использует вайперы для атак на израильские организации, отметив сотни инцидентов за несколько недель в июле.