Оборонно-промышленный комплекс России атакует троян BBSRAT

Исследователи компании Palo Alto Networks сообщили о вредоносной кампании, направленной на организации оборонно-промышленного комплекса России и стран бывшего СССР. Эксперты отметили схожие черты с операцией Roaming Tiger, обнаруженной ESET годом ранее.

О шпионской кампании Roaming Tiger стало известно в конце 2014 года. По данным ESET, жертвами преступников являлись организации в РФ, Украине, Беларуси, Узбекистане, Казахстане, Таджикистане и Киргизии. С помощью вредоносных RTF-файлов злоумышленники инфицировали системы жертв трояном семейства PlugX. Командно-контрольная инфраструктура указывала на китайское происхождение Roaming Tiger.

Летом нынешнего года исследователи из Palo Alto Networks обнаружили операцию, во многом напоминающую Roaming Tiger. Кампания началась в августе 2015 года и продолжается до сих пор. Пик атак пришелся на октябрь. Злоумышленники атаковали предприятия стратегического значения в странах бывшего СССР с помощью тех же методов и векторов атак. Отличие заключается только в одном – на смену PlugX пришел совершенно новый инструмент под названием BBSRAT. Оба трояна используют схожие механизмы заражения, но отличаются по архитектуре и модели поведения.

Как минимум в одной из атак злоумышленники рассылали фишинговые письма со вложенным вредоносным документом Word, эксплуатирующим уязвимость в Microsoft Office (CVE-2012-0158). Эта же уязвимость использовалась в атаках Roaming Tiger. На этом совпадения не заканчиваются – C&C-архитектура BBSRAT точно такая же, как у PlugX.

С помощью вредоносных писем злоумышленники пытались инфицировать системы научно-производственного центра «Вигстар», занимающегося производством оборудования для российских вооруженных сил и спецслужб.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s