Китайская хак-группа APT31 (она же Zirconium или Judgment Panda) атакует промышленные предприятия в Восточной Европе с помощью нового вредоносного ПО, которое способно похищать данные даже из систем изолированных от интернета и корпоративной сети.

Схема атак на изолированные системы

По данным «Лаборатории Касперского, хакеры использовали не менее 15 различных имплантатов в своих атаках, каждый из которых применялся для отдельного этапа операции, а также «фирменную» малварь FourteenHi.

Эксперты говорят, что злоумышленники применялти продвинутые тактики, методы и процедуры (TTPs), чтобы скомпрометировать предприятия производственного сектора, а также занимающиеся инжинирингом и интеграцией автоматизированных систем управления (АСУ).

Эта серия целевых атак была направлена на создание постоянного канала для кражи данных, в том числе из изолированных от внешнего мира систем. По ряду признаков эта вредоносная кампания похожа на ранее изученные атаки ExCone и DexCone, которые связывают с группировкой APT31.

Расследование показало, что более 15 различных имплантов позволяли хакерам создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищенных систем.

К примеру, APT31 активно использовала техники DLL-подмены (DLL hijacking), чтобы избегать обнаружения во время работы имплантов. Под этим термином подразумевает использование легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации данных и доставки малвари использовались облачные сервисы для хранения информации и платформы для обмена файлами. Злоумышленники развертывали инфраструктуру управления и контроля (C2) скомпрометированных систем в облачной платформе и на частных виртуальных серверах.

Также в атаках использовались новые версии вышеупомянутой малвари FourteenHi. Впервые она было обнаружено в 2021 году в ходе кампании ExCone, которая нацеливалась на госучреждения. Годом позже появились новые варианты программ этого семейства. Они использовались в атаках на промышленные организации.

Кроме того, в ходе расследования был обнаружен новый имплант, который получил название MeatBall. Он предоставлял злоумышленникам обширные возможности для удаленного доступа.

Другая отличительная особенность — то, что атакующие копировали данные из изолированных компьютерных сетей через последовательное заражение съемных носителей. Это не новая тактика, однако в данном случае ее реализация оказалась оригинальной и эффективной, по мнению специалистов. Она включала как минимум четыре различных модуля:

  • модуль работы со съемными носителями и сбором информации о них;
  • модуль заражения съемного носителя;
  • модуль сбора и сохранения данных на зараженном носителе;
  • модуль заражения и сбора информации с удаленного компьютера.

«Нельзя недооценивать серьезность последствий целевых атак на промышленный сектор. Поскольку многие организации начинают или продолжают активную цифровизацию, стоит учитывать и пропорционально возрастающие риски атак на критически важные системы. Факт, что злоумышленники находят способы добраться до наиболее защищенных систем промышленных предприятий, говорит о том, насколько важно следовать лучшим практикам обеспечения кибербезопасности, включая обучение сотрудников, получение, анализ и правильное использование информации об актуальных угрозах, внедрение специализированных решений для защиты промышленной инфраструктуры», — комментирует Кирилл Круглов, старший разработчик-исследователь в Kaspersky ICS CERT.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии