Эксперты «Лаборатории Касперского» предупреждают, что промышленные и проектные организации стран Ближнего и Среднего Востока страдают от направленных атак с марта 2015 года. В июне 2016 года исследователи зафиксировали новую волну атак, и кампании было присвоено название Operation Ghoul.

В основном хакеры используют для проникновения на серверы компаний направленный фишинг. Продуманные и хорошо составленные письма, якобы написанные сотрудниками банков, направляются в почтовые ящики будущих жертв. В основном жертвами атак становятся CEO, COO, менеджеры высшего звена и инженеры компаний. Как нетрудно догадаться, присланные хакерами письма содержат вредоносные вложения, якобы с платежными инструкциями (к примеру, файлы .7z) или ссылки на фишинговые сайты.

operation_ghoul_eng_1-1

Чаще всего злоумышленники заражают жертв шпионским вредоносом HawkEye, который способен похищать учетные данные из мессенджеров, почтовых клиентов и браузеров, перехватывать данные из буфера обмена, может следить за нажатиями клавиш и так далее. Все собранные данные отправляются на командный сервер атакующих при помощи HTTP GET или электронных писем. Затем эта информация используется для компрометации других аккаунтов компании и кражи финансовой информации.

«Основной мотивацией атакующих, очевидно, являются деньги, — пишут исследователи. — И не важно, полученные посредством банковского аккаунта жертвы, или посредством продажи интеллектуальной собственности [компании] заинтересованным третьим сторонам».

При этом в отчете экспертов упоминается лишь один C&C-сервер (192.169.82.86), который использовался как для сбора похищенных данных, так и для размещения фишинговых страниц.

Список организаций, пострадавших от Operation Ghoul, широк и многообразен: злоумышленники грабят военных, предприятия тяжелой промышленности, нефтехимические предприятия, грузоперевозчиков, производителей текстиля и фурнитуры, турфирмы, университеты и самые разные IT-компании. Эксперты пишут, что суммарно от таких атак пострадало уже более 130 предприятий в 30 странах мира.

operation_ghoul_eng_4

Больше всего страдают компании из АОЭ – там находятся 70% всех жертв злоумышленников. Наряду с ними, хотя и менее массово, были атакованы компании из России, Малайзии, Индии, Иордании, Турции, Германии, Египта, Японии и так далее (см. верхнюю иллюстрацию).

Хакеры действуют одинаково эффективно против всех популярных платформ (Windows, macOS, Ubuntu, iOS и Android), так как перед фишинговыми атаками равны все. Исследователи пишут, что помимо HawkEye ими были замечены вредоносы Trojan.MSIL.ShopBot.ww, Trojan.Win32.Fsysna.dfah и Trojan.Win32.Generic.

Эксперты в очередной раз предупреждают: не нужно открывать почтовые вложение, полученные из недоверенных источников. Компаниям специалисты советуют регулярно проводить тренинги для персонала, так как привилегированные пользователи обязаны знать о том, что такое киберугрозы и как им противостоять.

Оставить мнение