В атаках на энергокомпании Украины используется новое вредоносное ПО

Специалисты вирусной лаборатории ESET зафиксировали новую волну кибератак, нацеленную на энергетический сектор Украины.

Сценарий практически не отличается от вектора атак с применением вредоносного ПО BlackEnergy в декабре 2015 года. Злоумышленники рассылают по энергетическим предприятиям Украины фишинговые письма от лица компании «Укрэнерго» с вредоносным  документом Excel во вложении. 

Документ-приманка содержит вредоносный макрос. Похожий макрос использовался в киберкампании с применением BlackEnergy. Атакующие пытаются убедить жертву игнорировать сообщение безопасности и включить макрос, выводя на экран поддельное сообщение Microsoft Office.

Успешное исполнение макроса приводит к запуску вредоносного ПО – загрузчика (downloader), который пытается загрузить с удаленного сервера исполняемый файл и запустить его. Файл находился на украинском сервере, который был демонтирован после обращения специалистов ESET в организации реагирования на компьютерные инциденты CERT-UA и CyS-CERT.

В отличие от предыдущих атак на украинские энергетические объекты, злоумышленники использовали не троян BlackEnergy, а другой тип вредоносного ПО. Они выбрали модифицированную версию бэкдора Gcat с открытыми исходными текстами, написанную на скриптовом языке программирования Python. 

Gcat позволяет загружать в зараженную систему другие программы и исполнять команды оболочки. Прочие функции бэкдора (создание скриншотов, перехват нажатия клавиш, отправка файлов на удаленный сервер) были удалены. Управление Gcat осуществляется через аккаунт Gmail, что осложняет обнаружение вредоносного трафика в сети. 

По мнению вирусного аналитика ESET Роберта Липовски, использование вредоносного ПО с открытым исходным кодом нехарактерно для кибератак, осуществляющихся при поддержке государства (state-sponsored). Эксперт подчеркнул, что «новые данные не проливают свет на источник атак на энергосектор Украины, лишь предостерегают от поспешных выводов».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимости в межсетевых экранах Cisco угрожали сотням тысяч устройств

В межсетевых экранах Cisco Adaptive Security Appliance и Firepower Threat Defense найдены две уязвимости, затрагивающие в общей сложности сотни тысяч устройств. Успешная эксплуатация этих дыр позволяет злоумышленнику провести DoS-атаку.

Проблемы выявил специалист Positive Technologies Никита Абрамов, который также объяснил, что для использования багов условный киберпреступник должен отправить специально созданный пакет.

«Если атака увенчается успехом, злоумышленник сможет вызвать отказ в обслуживании межсетевого экрана. После этого устройство перезагрузится, а пользователи уже не смогут попасть во внутреннюю сеть организации», — рассказывает эксперт.

«Поскольку проблема может затронуть и VPN-подключения, подобная атака способна повлиять на бизнес-процессы в условиях повсеместной удалённой работы. Масштаб выявленной уязвимости можно сравнить с CVE-2020-3259, которую нашли на 220 тысячах устройств».

Атакующему не потребуется проходить аутентификацию или получать какие-либо дополнительные права. Достаточно будет банальной отправки специального запроса по определённому пути. Как отметил Абрамов, уязвимость угрожает любой организации, использующей эти устройства для организации удалённого доступа сотрудников.

Бреши получили идентификаторы CVE-2021-1445, CVE-2021-1504 и 8,6 баллов по шкале CVSS 3.1. Таким образом, уязвимостям можно присвоить высокий уровень опасности. В Positive Technologies подчеркнули, что это логические ошибки, часто возникающие по вине разработчиков.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru