• Главная
  • Публикации
  • Блог
  • Атака стирателя Dustman на нефтяную компанию Bapco
  • Атака стирателя Dustman на нефтяную компанию Bapco

10 января 2020

Атака стирателя Dustman на нефтяную компанию Bapco

close
Теги по теме
Bapco
Dustman
NCA
Shamoon
ZeroCleare
Теги по теме
Bapco
Dustman
NCA
Shamoon
ZeroCleare

Бахрейнская национальная нефтяная компания Bapco стала жертвой атаки вредоносного ПО Dustman. Инцидент произошел 29 декабря 2019 года. Атака не привела к серьезным последствиям. От заражения вредоносного ПО пострадала только часть компьютеров в сети Bapco, и компания смогла продолжить свою работу.

Упоминание данной атаки содержалось в предупреждении безопасности, опубликованном Национальным управлением кибербезопасности Саудовской Аравии (National Cybersecurity Authority, NCA). В этом документе сообщалось об обнаружении новой вредоносной программы, получившей название Dustman.

Dustman относится к вредоносным программам типа вайпер (стиратель) и предназначена для удаления данных на зараженных компьютерах. По результатам анализа вредоносного ПО было установлено, что Dustman представляет собой обновленную и улучшенную версию вайпера ZeroCleare, обнаруженного осенью прошлого года и имеющего некоторое сходство с вредоносным ПО Shamoon.

Обе программы, ZeroCleare и Dustman, используют сторонний драйвер Eldos RawDisk, а также скелет модифицированного Turla Driver Loader (TDL), опубликованного на GitHub в марте 2019 года. Однако методы, используемые при атаке Dustman отличаются от атак ZeroCleare. Во-первых, все необходимые драйверы и загрузчики Dustman поставляются в одном исполняемом файле, а не в двух файлах, как в случае с ZeroCleare. Во-вторых, Dustman перезаписывает том, тогда как ZeroCleare фактически стирает его, перезаписывая мусорными данными (0x55).

Согласно отчету NCA, первоначальный доступ к сети жертвы предположительно был получен злоумышленниками путем эксплуатации уязвимости удаленного выполнения кода в VPN-устройствах компании. После чего был получен доступ к VPN-серверу. Далее злоумышленникам удалось получить учетные записи администратора домена и службы консоли управления антивирусной системы, которые использовались для запуска и распространения вредоносного ПО. Вредоносное ПО вместе с инструментом удаленного выполнения PsExec было скопировано на сервер консоли управления антивирусной защитой, с помощью которой и был произведен запуск Dustman.

Схема атаки (источник: National Cybersecurity Authority)

Источники: ZDNet, Национальное управление по кибербезопасности Саудовской Аравии

Подписка на рассылку