19 октября 2018

Новое вредоносное ПО GreyEnergy атакует промышленные сети

Теги по теме

Исследователи компании ESET обнаружили ранее неизвестное вредоносное ПО, которое использовалось при целенаправленных атаках преимущественно на промышленные сети различных организаций в Центральной и Восточной Европе. Новая вредоносная программа и преступная группировка, стоящая за этими кибератаками, получили название GreyEnergy. В основном активность GreyEnergy направлена на энергетические компании, предприятия транспорта и организации других отраслей, связанных с критической инфраструктурой.

В ходе анализа GreyEnergy специалисты ESET выявили концептуальное сходство нового вредоносного ПО со зловредом BlackEnergy, который использовался в атаках на украинские энергосети в 2015 году. По мнению исследователей ESET, есть основания предполагать возможную связь группировки GreyEnergy с деятельностью преступной группы TeleBots, известной в связи со многими разрушительными атаками, включая атаки с использованием вредоносного ПО NotPetya и BadRabbit в 2017 году.

Исследователи ESET отслеживали деятельность группы GreyEnergy в течение нескольких лет. Впервые вредоносное ПО GreyEnergy было замечено в конце 2015 года при атаке на энергетическую компанию в Польше. Самый недавний случай использования GreyEnergy зафиксирован в середине 2018 года.

Вредоносная программа GreyEnergy имеет модульную архитектуру, что позволяет атакующим использовать различный функционал ПО, подключая при необходимости соответствующие DLL-библиотеки:

Название модуля Функциональность модуля
remoteprocessexec Внедрение PE бинарного файла в удаленный процесс
Info Сбор информации о системе, логах событий, SHA-256 вредоносных файлов
File Операции с файловой системой
Sshot Снятие скриншотов
keylogger Сбор нажатых клавиш
passwords Сбор сохраненных паролей с различных приложений
mimikatz Программа Mimikatz для сбора учетных данных Windows
Plink Программа Plink для создания SSH туннелей
3proxy Программа 3dproxy для создания прокси

 

В некоторых случаях вредоносные модули скачиваются с сервера управления и подгружаются напрямую в память без сохранения.

Основными векторами заражения GreyEnergy являются фишинговые почтовые сообщения и компрометация публичных веб-сервисов компаний с целью дальнейшего проникновения во внутреннюю сеть.

Основные сценарии атаки GreyEnergy (Источник: ESET)

GreyEnergy позволяет атакующим собирать учетные данные пользователей, в том числе для проникновения в индустриальные системы и сети, используемые для управления промышленными процессами. Кроме прочего, группировка применяет общедоступные инструменты, такие как Mimikatz, PsExec, WinExe, Nmap и пр. для осуществления вредоносной деятельности в сетях.

В ходе исследований специалистами ESET также были обнаружены образцы GreyEnergy, подписанные действительным цифровым сертификатом, который, скорее всего, был похищен у тайваньской компании, производящей промышленное оборудование.

Источник: ESET