Исследователи компании Palo Alto Networks сообщили о вредоносной кампании, направленной на организации оборонно-промышленного комплекса России и стран бывшего СССР. Эксперты отметили схожие черты с операцией Roaming Tiger, обнаруженной ESET годом ранее.
О шпионской кампании Roaming Tiger стало известно в конце 2014 года. По данным ESET, жертвами преступников являлись организации в РФ, Украине, Беларуси, Узбекистане, Казахстане, Таджикистане и Киргизии. С помощью вредоносных RTF-файлов злоумышленники инфицировали системы жертв трояном семейства PlugX. Командно-контрольная инфраструктура указывала на китайское происхождение Roaming Tiger.
Летом нынешнего года исследователи из Palo Alto Networks обнаружили операцию, во многом напоминающую Roaming Tiger. Кампания началась в августе 2015 года и продолжается до сих пор. Пик атак пришелся на октябрь. Злоумышленники атаковали предприятия стратегического значения в странах бывшего СССР с помощью тех же методов и векторов атак. Отличие заключается только в одном – на смену PlugX пришел совершенно новый инструмент под названием BBSRAT. Оба трояна используют схожие механизмы заражения, но отличаются по архитектуре и модели поведения.
Как минимум в одной из атак злоумышленники рассылали фишинговые письма со вложенным вредоносным документом Word, эксплуатирующим уязвимость в Microsoft Office (CVE-2012-0158). Эта же уязвимость использовалась в атаках Roaming Tiger. На этом совпадения не заканчиваются – C&C-архитектура BBSRAT точно такая же, как у PlugX.
С помощью вредоносных писем злоумышленники пытались инфицировать системы научно-производственного центра «Вигстар», занимающегося производством оборудования для российских вооруженных сил и спецслужб.
Источник: securitylab.ru
Around Cyber 