МОСКВА, 2 июн — ПРАЙМ. "Лаборатория Касперского" обнаружила серию целевых атак на компании в Японии, Италии, Германии и Великобритании — поставщиков оборудования и программного обеспечения для промышленных предприятий, говорится в отчете компании.
"Целями серии таргетированных атак, которую эксперты наблюдают с начала 2020 года, стали в том числе поставщики оборудования и программного обеспечения для промышленных предприятий. К настоящему времени известны случаи атак на системы в Японии, Италии, Германии и Великобритании. Злоумышленники используют вредоносные документы Microsoft Office, PowerShell-скрипты. Также различные техники, затрудняющие детектирование и анализ вредоносного ПО, включая стеганографию — технологию, которая позволяет скрыть факт передачи вредоносного ПО внутри изображения", — говорится в документе.
В качестве начального вектора атаки использовались фишинговые письма с текстом на языке страны, в которой находится компания-жертва. Вредоносное ПО использовалось только если операционная система локализована под данный язык: в случае атаки на компанию из Японии текст фишингового письма и документ, содержащий вредоносный макрос, написаны на японском, для успешной расшифровки модуля вредоносного ПО операционная система должна иметь японскую локализацию.
"Кроме того, злоумышленники использовали утилиту Mimikatz, чтобы украсть данные учетных записей Windows, принадлежащих сотрудникам атакованных предприятий. С помощью этой информации можно получить доступ к другим системам внутри корпоративной сети, в том числе к аккаунтам, которые имеют права администратора домена. Далее злоумышленники могут развивать атаку внутри сети предприятия", — пишут эксперты.
Во всех обнаруженных случаях вредоносное ПО было заблокировано решениями "Лаборатории Касперского", конечная цель злоумышленников неизвестна.
Эксперты советуют промышленным предприятиям для снижения рисков проводить обучение сотрудников навыкам безопасной работы с почтой и, в частности, распознавания фишинговых писем, ограничить выполнение макросов в документах Microsoft Office, по возможности ограничить получение программами привилегий. Также рекомендуется установить решение для защиты конечных устройств, внедрить парольную политику с требованиями к уровню сложности и регулярной смене пароля, а в случае подозрения на заражение систем — выполнить проверку антивирусным ПО и принудительно сменить пароли для всех аккаунтов, которые использовались для входа на скомпрометированных системах.