osint24 (osint24) wrote in ru_polit,
osint24
osint24
ru_polit

Неизвестные хакеры атакуют энергокомпании Украины с использованием нового вредоносного ПО

Международная антивирусная компания ESET зафиксировала новую волну кибератак, направленную на энергетический сектор Украины.

Специалисты вирусной лаборатории отмечают, что злоумышленники рассылают по энергетическим предприятиям Украины фишинговые письма от лица компании «Укрэнерго», содержащие во вложении вредоносный документ Excel. Сценарий практически полностью соответствует атакам с применением вредоносного ПО BlackEnergy в декабре 2015 года.


Фишинговое сообщение от лица компании «Укрэнерго» об изменении даты обсуждения плана развития ОЭС Украины на 2016–2025 годы

Приложенный документ выступает своего рода приманкой, содержащей зловредный макрос. Преступники в попытке убедить жертву игнорировать сообщение безопасности и включить макрос выводят на экран поддельное сообщение Microsoft Office.

Если уловка сработала, и жертва запустила исполнение макроса, происходит активация загрузчика, который пытается загрузить с удаленного сервера исполняемый файл и запустить его. Уточняется, что файл находился на украинском сервере, который к настоящему моменту был успешно деактивирован.


Документ-приманка и поддельное сообщение: «Внимание! Данный документ был создан в новой версии Microsoft Office. Находящиеся в нем макросы необходимы для отображения содержимого документа»


В описанном случае злоумышленники для проведения атак использовали модифицированную версию бэкдора Gcat, который позволяет загружать в инфицированную систему другие программы и исполнять команды оболочки. То обстоятельство, что управление Gcat осуществляется через аккаунт Gmail, изрядно усложняет обнаружение вредоносного трафика в сети.
Tags: Украина
Subscribe
Buy for 80 tokens
Buy promo for minimal price.
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 3 comments