Эксперты предупреждают, что группировка Librarian Ghouls, занимающаяся вредоносными рассылками для кражи конфиденциальной информации, теперь интересуется не только офисными документами, но и файлами, используемыми ПО для моделирования и разработки промышленных систем.
По данным «Лаборатории Касперского», в последнее время методы группировки для распространения малвари и кражи данных, равно как и применяемые хакерами инструменты практически не изменились.
Злоумышленники даже не сменили домен, на который отправляют похищенные данные (hostingforme[.]nl). Зато изменились названия файлов, которые они используют в качестве приманок, а также форматы файлов, которые вредонос собирает для отправки на управляющий сервер.
Так, Librarian Ghouls рассылают вредоносные архивы RAR с файлами .SCR, названия которых имитируют офисные документы. Если жертва запускает такой файл, малварь скачивает на компьютер дополнительную полезную нагрузку, собирает интересующие злоумышленников данные в архивы и отправляет их своим опреаторам.
Исследователи отмечают, что в теме вредоносных писем обычно встречаются такие заголовки: «О ведении Каталога Российской ЭКБ (6-3223 от 30.08.2024)» или «Срочный запрос КП от Военмеха». Также были замечены следующие названия файлов, маскирующихся под документы:
- Исх_28_08_2024_№6_3223_Организациям_по_списку_Визуализация.scr
- Исх_02_09_2024_№6_3223_Организациям_по_списку_Визуализация.scr
- Проект ТТТ 13.08.2024-2.doc.scr
- Проект ТТТ 27.08.2024-2.scr
- Запрос КП.docx.scr
Раньше хакеров интересовали только офисные документы (файлы с расширением *.doc, *.docx) и данные из мессенджера Telegram, и теперь они продолжают похищать эти данные, однако теперь в список файлов, собираемых малварью, добавились несколько расширений, характерных для узкоспециализированного ПО:
- SLDPRT — файлы системы автоматизированного проектирования SolidWorks, которое используется для промышленного дизайна, в частности для 2D- и 3D-моделирования деталей и сборок;
- .cdw — еще один формат системы САПР, на этот раз российской КОМПАС-3D, также используемой для моделирования деталей и узлов;
- .m3d — универсальный формат, применяемый различными программами для создания трехмерных моделей объектов;
- .dwg — формат файла, используемый для хранения двухмерных и трехмерных проектных данных и метаданных (в частности, используется такими программными комплексами САПР, как AutoCAD, CorelCAD и другими).
Кроме того, теперь малварь также похищает и документы в формате *.pdf.
Исследователи предупреждают, что перечень адресатов, которым Librarian Ghouls отправляют свои вредоносные письма, состоит из предприятий, связанных с проектно-конструкторской деятельностью в разнообразных отраслях.
В частности, исследователи уже обнаружили попытки атак на научно-исследовательские институты разной направленности, предприятия ракетно-космической и авиационной отрасли, производителей оборудования для газоперерабатывающей, нефтехимической, атомно-энергетической и оборонной промышленности, а также производителей водолазного оборудования, систем связи и радиолокации, контрольно-кассовой техники, автокомпонентов, АСУ ТП, телекоммуникационного оборудования; защищенных средств связи; полупроводниковых приборов и силовых модулей.
