Госслужащая британского Министерства обороны подверглась атаке шпионов

Сообщается, что некие иностранные шпионы предприняли попытку осуществить целевую фишинговую атаку против сотрудницы оборонного ведомства Великобритании в расчете на похищение сведений, составляющих военную тайну.



Служащая Министерства получила электронное письмо, исходящее от человека, которого ей доводилось встречать на одной из профильных конференций; послание явно не было простым спам-отправлением и предназначалось ей лично, что непосредственно следовало из тела сообщения.


Тем не менее, адресат заподозрила неладное и передала письмо IT-экспертам ведомства, которые, в свою очередь, обнаружили, что вложенный в сообщение файл являет собой вредоносное программное обеспечение, специально разработанное для кражи секретных сведений и их последующей передачи иностранной разведке.


Министерство обороны отказалось официально комментировать инцидент. Руководитель отдела информационной безопасности ведомства Саймон Кершоу лишь вкратце упомянул о происшествии, не раскрывая подробностей. Уровень секретности, действительно, был и остается довольно высоким: о случившемся стало известно только сейчас, хотя эта атака была предпринята еще в прошлом году.


Журналистам, однако, удалось выяснить, что целью шпионов была Джоанна Хоул - высокопоставленная служащая Министерства, занимавшая ранее ряд ответственных постов на государственной службе.


Г-н Кершоу не назвал возможных инициаторов вредоносного замысла, однако существует мнение, что "древо угроз" в данном случае может произрастать из Китая. Не исключено, что именно активность китайских разведывательных служб оказалась решающим фактором, повлиявшим на решение британского правительства выделить 650 млн. фунтов на четырехлетнюю программу развития кибербезопасности.


The Register

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Кибергруппа использует стеганографию в целевых атаках на промышленность

Исследователи проекта Kaspersky ICS CERT предупреждают о целевых атаках киберпреступников на промышленные организации в Японии и странах Европы. Экспертов особенно поражают подготовленность злоумышленников и сложность операций.

Впервые команда Kaspersky ICS CERT столкнулась с этими атаками в начале 2020 года. В мае группировка переключилась на организации в Японии, Италии, Германии и Великобритании.

Киберпреступники также выбрали себе в цели поставщиков оборудования и программного обеспечения для промышленных организаций. В качестве первой ступени в операциях используется целевой фишинг — к электронным письмам прикрепляются вредоносные документы Microsoft Office.

Атакующие используют скрипты PowerShell и ряд других способов, которые помогают им избегать детектирования и препятствовать анализу образцов вредоносных программ.

Согласно отчёту Kaspersky ICS CERT, киберпреступники адаптируют каждое письмо под конкретного получателя, учитывая его родной язык и другие особенности.

Основная цель каждого такого письма — обманом заставить пользователя открыть документ из вложения и разрешить выполнение макросов. Помимо этого, преступники используют известный инструмент Mimikatz для кражи учётных данных от аккаунтов в Windows.

Эксперты отметили интересный нюанс: специальный PowerShell-скрипт, используемый атакующими, загружает изображение с хостинга Imgur или imgbox. Этот медиафайл содержит данные, извлекая которые, вредоносная программа создаёт ещё один скрипт PowerShell — обфусцированную версию Mimikatz.

На данный момент специалисты «Лаборатории Касперского» затрудняются назвать конечную цель злоумышленников.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru