ЛК зафиксировала новый вид атак кибергруппировки BlackEnergy

ЛК зафиксировала новый вид атак кибергруппировки BlackEnergy

«Лаборатория Касперского» зафиксировала ранее неизвестный способ атак русскоговорящей кибергруппировки BlackEnergy — с использованием Word-документов. Эксперты обнаружили фишинговую рассылку, которая, похоже, использовалась в атаках на популярный украинский телеканал.

Несмотря на то что деятельность этой группировки уже давно получила широкую огласку, она остается весьма активной и представляет серьезную угрозу. Последние атаки в Украине показывают, что BlackEnergy сконцентрирована на внедрении разрушительных вредоносных программ, нарушении работы промышленных систем управления и кибершпионаже.

С середины 2015 года группировка активно распространяет фишинговые письма с вредоносными Excel-вложениями, которые заражают компьютеры через макросы, а в январе 2016 года «Лаборатория Касперского» впервые обнаружила, что она также использует для этих целей вредоносные вложения Word.

Получая такой документ, пользователь видит уведомление о необходимости подключить макрос для просмотра содержимого. Выполнение этой рекомендации приводит к запуску в системе троянца BlackEnergy.

 

 

Активированный на компьютере жертвы зловред посылает данные о зараженном устройстве на командный сервер, в том числе, скорее всего, и номер ID. Документ, проанализированный «Лабораторией Касперского», содержит идентификатор 301018stb, где stb может означать украинский телеканал СТБ, который уже становился жертвой BlackEnergy в октябре 2015 года. В зараженную систему затем могут быть внедрены и другие вредоносные модули с различными функциями, от кибершпионажа до уничтожения данных.

«Ранее BlackEnergy атаковала крупные предприятия в Украине с использованием Excel- и PowerPoint-документов. Мы предполагали, что дело дойдет и до Word, и наши подозрения оправдались. Макросы в Word действительно все чаще используются для проведения целевых атак. Например, недавно мы видели это у группировки Turla. К сожалению, растущая популярность этого метода свидетельствует о его успешности», — отмечает Костин Райю, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».

Группировка BlackEnergy попала в поле зрения «Лаборатории Касперского» в 2014 году. Тогда она проводила атаки на энергетические компании и промышленные системы управления по всему миру с использованием плагинов, нацеленных на SCADA-системы. Эксперты пришли к выводу, что особенно группировку интересуют соответствующие объекты в Украине, а также украинские госучреждения и СМИ. Изначально проводя целевые атаки с помощью DDoS-инструментов, позднее BlackEnergy расширила свой арсенал и осуществила в том числе ряд геополитических операций, например, атаки на несколько объектов критической инфраструктуры в Украине в конце 2015 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Staffcop 5.7 появилось распознавание аудио и почтовый граббер

Компания «Атом Безопасность» (входит в ГК СКБ Контур) представила новую версию системы расследования инцидентов Staffcop Enterprise 5.7. Обновление получило целый ряд улучшений — от распознавания звука и перехвата сообщений в Яндекс.Мессенджере до нового почтового граббера и улучшенной утилиты удалённой установки агентов.

Главная новинка — сервер распознавания аудио. Он анализирует записи разговоров и помогает выявлять мошеннические схемы, конфликты и нарушения.

В речи пользователей система может искать триггерные слова, указывающие на рискованные действия. При этом компания может развернуть сервер у себя, не передавая внутренние данные сторонним сервисам и не покупая коммерческие лицензии.

Ещё одно важное обновление — новый почтовый граббер, который способен обрабатывать десятки тысяч писем в день. Он ускоряет анализ корпоративной переписки и помогает выявлять нарушения комплаенса, утечки и признаки инсайда. Благодаря асинхронной работе инструмент подходит и для крупных компаний с большим документооборотом.

Кроме того, в Staffcop теперь появился перехват сообщений в Яндекс.Мессенджере — это расширяет контроль над внутренними коммуникациями и помогает в расследовании инцидентов ИБ и экономической безопасности.

Также система научилась перехватывать команды в терминалах macOS, что позволит отслеживать потенциально опасные действия администраторов или злоумышленников. А новая версия утилиты удалённой установки упрощает внедрение агентов на сотни компьютеров, снижая нагрузку на администраторов и сеть.

Дополнительно разработчики добавили учёт времени участия сотрудников во встречах ВКС — теперь эта функция работает не только на Windows, но и на Linux.

«Новый релиз делает расследования быстрее, а защиту данных — надёжнее, сохраняя удобство для администраторов и прозрачность для бизнеса», — отметил Даниил Бориславский, директор по продукту Staffcop и эксперт по ИБ Контур.Эгиды.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru