Librarian Ghouls занялись промышленным шпионажем

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.345
Репутация
11.800
Реакции
62.026
RUB
50
В начале июля мы писали о таргетированной рассылке писем с вредоносными вложениями для сбора конфиденциальной информации с компьютеров различных компаний.

Мы продолжаем отслеживать эту активность злоумышленников и обратили внимание на изменения в их поведении. Теперь стоящая за рассылкой группировка, получившая название Librarian Ghouls, интересуется не только офисными документами, но и файлами, используемыми ПО для моделирования и разработки промышленных систем.

librarian-ghouls-CAD-formats-featured.jpg

Как Librarian Ghouls охотятся за информацией

Методы, используемые злоумышленниками для распространения зловреда и кражи данных, равно как и применяемые ими инструменты, с июля не изменились. Они даже не сменили домен, на который отправляют похищенные данные, — hostingforme[.]nl. По большому счету изменились только названия файлов, которые они используют в качестве приманки, и форматы файлов, которые зловред собирает для отправки на контрольный сервер.

Если быть кратким, то Librarian Ghouls рассылают вредоносные архивы RAR с файлами .SCR, названия которых имитируют офисные документы. Если жертва запускает файл, то зловред скачивает на компьютер дополнительную полезную нагрузку, собирает интересующие злоумышленников данные в архивы и отправляет их злоумышленникам.

В августе и начале сентября наши системы зарегистрировали использование следующих названий файлов, маскирующихся под документы:
  • Исх09_04_2024№6_3223_ОрганизациямпоспискуВизуализацияЭП.scr
  • Исх20_08_2024№6_3223_Организациямпосписку_Визуализация.scr
  • Исх28_08_2024№6_3223_Организациямпосписку_Визуализация.scr
  • Исх02_09_2024№6_3223_Организациямпосписку_Визуализация.scr
  • Проект ТТТ 13.08.2024-2.doc.scr
  • Проект ТТТ 27.08.2024-2.scr
  • Запрос КП.docx.scr
В теме вредоносных писем обычно встречаются такие заголовки:
  • О ведении Каталога Российской ЭКБ (6-3223 от 30.08.2024)
  • Срочный запрос КП от Военмеха

Чем теперь интересуются Librarian Ghouls

Раньше злоумышленников интересовали только офисные документы (файлы с расширением *.doc, *.docx) и данные из мессенджера Telegram. Они продолжают похищать эти данные, но теперь в список файлов, собираемых зловредом для отправки, было добавлено несколько расширений, характерных для узкоспециализированного ПО:
  • .SLDPRT — файлы системы автоматизированного проектирования SolidWorks, которое используется для промышленного дизайна, в частности для 2D- и 3D-моделирования деталей и сборок;
  • .cdw — еще один формат системы САПР, на этот раз российской КОМПАС-3D, также используемой для моделирования деталей и узлов;
  • .m3d — универсальный формат, применяемый различными программами для создания трехмерных моделей объектов;
  • .dwg — формат файла, используемый для хранения двухмерных и трехмерных проектных данных и метаданных. В частности, используется такими программными комплексами САПР, как AutoCAD, CorelCAD и другими.
Кроме того, теперь зловред также похищает и документы в формате *.pdf.

Кого атакуют Librarian Ghouls

Перечень адресатов, которым Librarian Ghouls отправляют вредоносные письма, состоит из предприятий, связанных с проектно-конструкторской деятельностью в разнообразных отраслях. Мы обнаружили попытки атак на:
  • научно-исследовательские институты разной направленности;
  • предприятия ракетно-космической и авиационной отрасли;
  • производителей оборудования для газоперерабатывающей, нефтехимической, атомно-энергетической и оборонной промышленности;
  • производителей водолазного оборудования, систем связи и радиолокации, контрольно-кассовой техники, автокомпонентов, АСУ ТП, телекоммуникационного оборудования; защищенных средств связи; полупроводниковых приборов и силовых модулей.

Как оставаться в безопасности?

Для того чтобы защитить предприятие от вредоносных рассылок мы рекомендуем, во-первых, использовать , которое остановит большую часть атак через электронную почту еще до того, как они доберутся до компьютеров сотрудников. Кроме того, на каждом рабочем устройстве, имеющем доступ в Интернет, должно быть установлено , способное проверять запускаемый код и блокировать попытки атаки.

Помимо этого, стоит повышать уровень осведомленности сотрудников о современных киберугрозах.


 
  • Теги
    librarian ghouls промышленный шпионаж
  • Сверху Снизу