Эксперты предупреждают, что группировка Librarian Ghouls, занимающаяся вредоносными рассылками для кражи конфиденциальной информации, теперь интересуется не только офисными документами, но и файлами, используемыми ПО для моделирования и разработки промышленных систем.

По данным «Лаборатории Касперского», в последнее время методы группировки для распространения малвари и кражи данных, равно как и применяемые хакерами инструменты практически не изменились.

Злоумышленники даже не сменили домен, на который отправляют похищенные данные (hostingforme[.]nl). Зато изменились названия файлов, которые они используют в качестве приманок, а также форматы файлов, которые вредонос собирает для отправки на управляющий сервер.

Так, Librarian Ghouls рассылают вредоносные архивы RAR с файлами .SCR, названия которых имитируют офисные документы. Если жертва запускает такой файл, малварь скачивает на компьютер дополнительную полезную нагрузку, собирает интересующие злоумышленников данные в архивы и отправляет их своим опреаторам.

Исследователи отмечают, что в теме вредоносных писем обычно встречаются такие заголовки: «О ведении Каталога Российской ЭКБ (6-3223 от 30.08.2024)» или «Срочный запрос КП от Военмеха». Также были замечены следующие названия файлов, маскирующихся под документы:

  • Исх_28_08_2024_№6_3223_Организациям_по_списку_Визуализация.scr
  • Исх_02_09_2024_№6_3223_Организациям_по_списку_Визуализация.scr
  • Проект ТТТ 13.08.2024-2.doc.scr
  • Проект ТТТ 27.08.2024-2.scr
  • Запрос КП.docx.scr

Раньше хакеров интересовали только офисные документы (файлы с расширением *.doc, *.docx) и данные из мессенджера Telegram, и теперь они продолжают похищать эти данные, однако теперь в список файлов, собираемых малварью, добавились несколько расширений, характерных для узкоспециализированного ПО:

  • SLDPRT — файлы системы автоматизированного проектирования SolidWorks, которое используется для промышленного дизайна, в частности для 2D- и 3D-моделирования деталей и сборок;
  • .cdw — еще один формат системы САПР, на этот раз российской КОМПАС-3D, также используемой для моделирования деталей и узлов;
  • .m3d — универсальный формат, применяемый различными программами для создания трехмерных моделей объектов;
  • .dwg — формат файла, используемый для хранения двухмерных и трехмерных проектных данных и метаданных (в частности, используется такими программными комплексами САПР, как AutoCAD, CorelCAD и другими).

Кроме того, теперь малварь также похищает и документы в формате *.pdf.

Исследователи предупреждают, что перечень адресатов, которым Librarian Ghouls отправляют свои вредоносные письма, состоит из предприятий, связанных с проектно-конструкторской деятельностью в разнообразных отраслях.

В частности, исследователи уже обнаружили  попытки атак на научно-исследовательские институты разной направленности, предприятия ракетно-космической и авиационной отрасли, производителей оборудования для газоперерабатывающей, нефтехимической, атомно-энергетической и оборонной промышленности, а также производителей водолазного оборудования, систем связи и радиолокации, контрольно-кассовой техники, автокомпонентов, АСУ ТП, телекоммуникационного оборудования; защищенных средств связи; полупроводниковых приборов и силовых модулей.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии