Новый RAT атакует SCADA-системы в Азербайджане

Новый RAT атакует SCADA-системы в Азербайджане

Вредонос попадает на атакуемые системы через вредоносные документы Microsoft Word с упоминанием COVID-19.

image

Специалисты компании Cisco Talos сообщили о новой вредоносной кампании против правительственных учреждений и промышленных предприятий Азербайджана, в ходе которой злоумышленники используют тему коронавируса с целью заражения сетей трояном для удаленного доступа (RAT).

По данным исследователей, вредонос предназначен для атак на использующиеся в электроэнергетическом секторе SCADA-системы, в частности на ветротурбинные системы, производитель которых пока еще не определен.

Злоумышленники рассылают вредоносные документы Microsoft Word, загружающие на атакуемую систему написанный на Python ранее неизвестный троян PoetRAT. Свое название вредонос получил из-за многочисленных отсылок к сонетам Уильяма Шекспира.

PoetRAT оснащен всеми функциями, характерными для RAT. Он может похищать конфиденциальные документы, нажатия клавиш на клавиатуре, пароли и даже изображения с web-камер, а также предоставляет своим операторам полный контроль над скомпрометированной системой.

Как именно вредоносные документы Microsoft Word попадают на систему, неизвестно. Однако, поскольку они доступны для загрузки по обычной ссылке, исследователи предположили, что злоумышленники рассылают фишинговые письма или вредоносные URL.

Атаки начались в феврале нынешнего года, и с тех пор исследователи зафиксировали три волны. Некоторые поддельные документы были якобы от правительственных учреждений Азербайджана или от Организации оборонных исследований и разработок Индии. Некоторые файлы назывались C19.docx и не имели никакого содержимого.

Встроенный в документ макрос Visual Basic Script записывает вредоносное ПО на диск в виде архива smile.zip, состоящего из интерпретатора Python и самого трояна. Вредонос проверяет, не запущен ли он на виртуальной машине, и в случае выявления песочницы автоматически удаляется с системы.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle