Хакеры атакуют предприятия морской и оборонной промышленности США и Западной Европы

image

Теги: Leviathan, хакеры

Вредоносная кампания в основном ориентирована на организации из США и Западной Европы.

Исследователи безопасности из Proofpoint сообщили о росте активности хакерской группировки Leviathan, регулярно проводящей кампании по распространению вредоносного ПО с целью хищения конфиденциальных данных у компаний и организаций, связанных с кораблестроением и военно-морским флотом.

Группировка активна по меньшей мере с 2014 года и проявляет наибольший интерес к сфере судостроения, военным подрядчикам, исследовательским институтам, а также к правительственным и юридическим организациям. Кампания в основном ориентирована на организации из США и Западной Европы, однако ряд целей находится в районе Южно-Китайского моря.

Распространяемые в ходе вредоносной кампании в сентябре текущего года фишинговые письма содержали вредоносные документы Microsoft Excel и Word, замаскированные под вакансии, резюме и военную документацию.

Злоумышленники эксплуатировали уязвимость CVE-2017-8759, позволяющую внедрить вредоносный код для выполнения скриптов Visual Basic, содержащих команды PowerShell и установить вредоносное ПО. Как отметили исследователи, вредоносная кампания началась через несколько дней после обнаружения данной уязвимости. Это свидетельствует о готовности хакеров оперативно осваивать новые методы осуществления атак.

Скомпрометировав систему, злоумышленники устанавливали бэкдор Orz, также известный как Core, способный собирать информацию, загружать и обновлять файлы, а также выполнять команды. Атакующие также использовали троян NanHaiShu, позволяющий отправлять информацию с инфицированного устройства на C&C-серверы.

В августе текущего года Leviathan провела вредоносную кампанию, направленную на ряд оборонных подрядчиков. Фишинговые сообщения, содержавшие вредоносный URL, были замаскированы под документы компаний, занимающихся строительством военных кораблей, подводных лодок и других морских судов. В ходе кампании была проэксплуатирована уязвимость CVE-2017-0199, позволяющая удаленно выполнить код и получить полный контроль над зараженной системой.

Ранее стало известно о  взломе сети австралийского военного подрядчика хакерской группировкой ALF. В ходе атаки было похищено порядка 30 ГБ секретной военной документации о боевых самолетах, бомбах и военно-морских судах.


Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus