Злоумышленники теперь нацелились на критически важные проектные данные и чертежи.
В начале июля лаборатория Касперского Для просмотра ссылки Войдиили Зарегистрируйся о новой волне таргетированных атак, где злоумышленники рассылали вредоносные файлы под видом документов с целью сбора конфиденциальной информации с компьютеров различных компаний. С тех пор компания продолжила отслеживать активность группы, известной как Librarian Ghouls, и Для просмотра ссылки Войди или Зарегистрируйся изменения в их тактике.
Хотя методы и инструменты, используемые группировкой, остаются прежними, их цели и формат данных, которые они собирают, претерпели изменения. В июле было установлено, что злоумышленники рассылают вредоносные файлы с расширением .SCR, скрывающиеся под именем документа, имитирующего отчет по БПЛА. Теперь же их интерес стал более широким. Вместо того чтобы сосредоточиться исключительно на офисных документах и данных из мессенджера Telegram, они начали нацеливаться на файлы, связанные с программами для моделирования и разработки промышленных систем.
Методы атаки остаются теми же: вредоносные файлы по-прежнему распространяются в виде архивов RAR с поддельными документами в формате .SCR. Если жертва открывает такой файл, зловред загружает на компьютер дополнительные вредоносные компоненты, собирает интересующие данные и отправляет их на сервер злоумышленников. В августе и начале сентября наблюдается использование новых названий файлов, таких как «Исх_09_04_2024_№6_3223_Организациям_по_списку_Визуализация_ЭП.scr» и «Проект ТТТ 27.08.2024-2.scr».
Заголовки вредоносных писем часто касаются срочных запросов или отчетов, что делает их более привлекательными для потенциальных жертв. В августе и начале сентября использовались такие темы, как «О ведении Каталога Российской ЭКБ (6-3223 от 30.08.2024)» и «Срочный запрос КП от Военмеха». Эти заголовки помогают злоумышленникам увеличить вероятность того, что их письма будут открыты.
Одной из ключевых новаций стало расширение списка собираемых данных. Теперь в список файлов, собираемых зловредом для отправки, было добавлено несколько расширений, характерных для узкоспециализированного ПО:
Целевая аудитория атак была расширена и теперь включает предприятия, занимающиеся проектированием и разработкой в различных отраслях. В зоне риска оказались научно-исследовательские институты, компании ракетно-космической и авиационной отраслей, а также предприятия, работающие в области газопереработки, нефтехимии и обороны. Особое внимание уделяется производителям оборудования, систем связи и радиолокации, автокомпонентов, АСУ ТП и полупроводниковых приборов.
В начале июля лаборатория Касперского Для просмотра ссылки Войди
Хотя методы и инструменты, используемые группировкой, остаются прежними, их цели и формат данных, которые они собирают, претерпели изменения. В июле было установлено, что злоумышленники рассылают вредоносные файлы с расширением .SCR, скрывающиеся под именем документа, имитирующего отчет по БПЛА. Теперь же их интерес стал более широким. Вместо того чтобы сосредоточиться исключительно на офисных документах и данных из мессенджера Telegram, они начали нацеливаться на файлы, связанные с программами для моделирования и разработки промышленных систем.
Методы атаки остаются теми же: вредоносные файлы по-прежнему распространяются в виде архивов RAR с поддельными документами в формате .SCR. Если жертва открывает такой файл, зловред загружает на компьютер дополнительные вредоносные компоненты, собирает интересующие данные и отправляет их на сервер злоумышленников. В августе и начале сентября наблюдается использование новых названий файлов, таких как «Исх_09_04_2024_№6_3223_Организациям_по_списку_Визуализация_ЭП.scr» и «Проект ТТТ 27.08.2024-2.scr».
Заголовки вредоносных писем часто касаются срочных запросов или отчетов, что делает их более привлекательными для потенциальных жертв. В августе и начале сентября использовались такие темы, как «О ведении Каталога Российской ЭКБ (6-3223 от 30.08.2024)» и «Срочный запрос КП от Военмеха». Эти заголовки помогают злоумышленникам увеличить вероятность того, что их письма будут открыты.
Одной из ключевых новаций стало расширение списка собираемых данных. Теперь в список файлов, собираемых зловредом для отправки, было добавлено несколько расширений, характерных для узкоспециализированного ПО:
- .SLDPRT — файлы системы автоматизированного проектирования SolidWorks, используемой для промышленного дизайна, в частности для 2D- и 3D-моделирования деталей и сборок;
- .cdw — формат системы САПР российской КОМПАС-3D, также используемый для моделирования деталей и узлов;
- .m3d — универсальный формат, применяемый различными программами для создания трехмерных моделей объектов;
- .dwg — формат файла, используемый для хранения двухмерных и трехмерных проектных данных и метаданных. В частности, используется такими программными комплексами САПР, как AutoCAD, CorelCAD и другими.
Целевая аудитория атак была расширена и теперь включает предприятия, занимающиеся проектированием и разработкой в различных отраслях. В зоне риска оказались научно-исследовательские институты, компании ракетно-космической и авиационной отраслей, а также предприятия, работающие в области газопереработки, нефтехимии и обороны. Особое внимание уделяется производителям оборудования, систем связи и радиолокации, автокомпонентов, АСУ ТП и полупроводниковых приборов.
- Источник новости
- www.securitylab.ru