Хакеры отправляют на корпоративные адреса машиностроительных предприятий письма от имени Следственного комитета Российской Федерации с трояном.
При открытии письма в систему с помощью WhiteSnake внедряется JavaScript-бэкдор. Цель атаки – сбор информации о сотрудниках компаний, инфраструктуре и внутренней сети. Поддельные письма рассылаются с аккаунта @mail.ru и содержат два вложения: защищенный паролем вредоносный ZIP и безобидный PDF с отсылкой к содержимому архива, который содержал два файла (копии Trojan.Siggen21.39882, он же WhiteSnake Stealer), два документа для отвода глаз и пароль, сдублированный в имени архива (Трeбoвaниe 19098 Cлед ком РФ от 02.10.23 ПАРОЛЬ – 123123123.zip). Стилер в данном случае играет роль первой ступени заражения: по команде собирает данные о конфигурации сетей Wi-Fi и пароли на доступ, запускает прокси-сервер SSH и устанавливает зловреда второй ступени – JS.BackDoor.60.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» отмечает, что сегодня для совершения атак на сложную инфраструктуру крупных компаний и производств, злоумышленники используют комбинированные техники, взламывая сеть с нескольких сторон. «Соответственно, и решения для защиты инфраструктуры также должны быть сложными и защищать сеть на разных уровнях. Таким решением может являться модульный продукт Efros Defence Operations, который дает возможность защищать инфраструктуру, как на уровне доступа в сеть, так и на внутреннем уровне, отслеживая все изменения в конфигурациях и критичных файлах», – говорит Юлия Парфенова.
Оригинал пресс-релиза