Symantec: Новый троян-шпион атакует мировые энергетические компании

Symantec: Новый троян-шпион атакует мировые энергетические компании

Вредонос действует в качестве разведывательного инструмента, позволяющего злоумышленникам собрать необходимую информацию.

Специалисты ИБ-компании Symantec  сообщили  о новом трояне-шпионе, получившем название Trojan.Laziok (по классификации Symantec). Вредонос действует в качестве разведывательного инструмента, позволяющего злоумышленникам собрать необходимую информацию для адаптации методов атаки на каждый скомпрометированный компьютер.

В период с января по февраль текущего года эксперты зафиксировали многоступенчатую кампанию, нацеленную на размещенные по всему миру энергетические предприятия. Под особо пристальное внимание злоумышленников попали Средневосточные компании.

По данным Symantec, самым таргетируемым регионом оказались Объединенные Арабские Эмираты (25%), чуть меньше случаев инфицирования зарегистрировано в Саудовской Аравии, Пакистане и Кувейте (по 10% в каждой стране), на последнем месте оказались Камерун, Колумбия, Уганда, Катар, Оман, Индия, Индонезия, США и Великобритания (по 5%).

Как выяснилось, большинство целевых компаний были связаны с нефтяной, газовой или гелиевой промышленностью, что позволяет предположить наличие у злоумышленников стратегического интереса в бизнес-операциях данных предприятий.

Руководствуясь собранной трояном информацией, преступники принимали критические решения о дальнейшем ходе атаки – продолжать или остановить. Троян распространялся в спам-письмах, к которым прикреплялось вредоносное вложение в виде документа Excel, содержащее эксплоит для уязвимости в Microsoft Windows ( CVE-2012-0158 ), позволяющей выполнить произвольный код на целевой системе. Открытие жертвой файла Excel приводит к исполнению кода эксплоита, после чего происходит инфицирование целевой системы. Троян скрывается в директории %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle, где создает новые папки и переименовывает себя.

Вредонос собирал следующую информацию: имя компьютера, установленное ПО, объемы ОЗУ и жесткого диска, а также данные о процессоре и присутствующих в наличии антивирусах. Все полученные сведения троян отправлял злоумышленникам, которые затем инфицировали компьютер дополнительным вредоносным ПО.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!