С помощью специальных техник злоумышленникам группировки GreyEnergy удавалось эффективно маскировать атаки, долго оставаясь незамеченными.
Кибергруппировка уже в течение нескольких лет терроризирует промышленные предприятия Украины и Восточной Европы. Атаки происходят с помощью вредоносного ПО для автоматизированной системы управления технологическим процессом, которое злоумышленники отправляют через фишинговые письма.
Такой e-mail, как правило, содержал два типа документа. Первый – вложенная интерактивная форма, которую получателю письма предлагалось заполнить. Второй – вредоносный файл Microsoft Word, который при открытии запрашивал функцию «активации содержимого».
Филигранно написанный и скомпилированный код киберпреступников позволял обходить системы безопасности. Он совершенно не похож ни на один другой, сообщает компания Nozomi Networks, которая является лидером в области промышленной кибербезопасности.
После открытия документа из удаленного источника на атакованную систему загружается образ, а вредоносный код без труда распаковывается при помощи oledump. Nozomi Networks удалось выяснить, что хакеры умело используют стирание строк из памяти и другие способы обхода систем обнаружения, что позволило злоумышленникам долго оставаться незамеченными.
Стоит отметить, что немного ранее деятельность GreyEnergy уже попадала в поле зрения компании ESET – когда АРТ атаковала польские сайты и украинский энергетический сектор. По мнению специалистов, действующий злоумышленник является переименованной группировкой BlackEnergy, которая исчезла с поля рения примерно тогда же, когда появилась GreyEnergy.
Напомним, ранее мы писали о том, что украинцы все чаще становятся жертвами фишинговых ресурсов, которые «маскируются» под сайты банков.
На нашем сайте используются файлы cookie для сбора информации в маркетинговых целях. Подробно о сборе информации вы можете ознакомиться в «Политике конфиденциальности».
