MontysThree: cyberszpiegostwo przemysłowe

Cyberprzestępcy używają stenografii, aby ukryć swój kod i zdobyć dane przemysłowe.


Nasi eksperci wykryli ślady aktywności nowego ugrupowania cyberprzestępczego, które szpieguje przedsiębiorstwa z branży przemysłowej. Przy użyciu narzędzi, którym nasi badacze nadali nazwę MontysThree, oszuści przeprowadzają ataki ukierunkowane, aby wyszukiwać na komputerach ofiar dokumenty. Wygląda na to, że ugrupowanie to jest aktywne co najmniej od 2018 roku.

W jaki sposób MontysThree infekuje komputery

Aby przedostać się na komputery ofiar, cyberprzestępcy używają klasycznych technik phishingu ukierunkowanego, czyli wysyłają do pracowników przedsiębiorstw z branży przemysłowej e-maile zawierające pliki wykonywalne, które podszywają się pod dokumenty w formacie .pdf lub .doc. Pliki takie zwykle są podpisane jako „Aktualizacja danych firmowych”, „Specyfikacja techniczna”, „Lista numerów telefonów pracowników 2019r.” itp. W niektórych przypadkach atakujący starają się sprawić, aby pliki wyglądały jak dokumenty medyczne, nazywając je „Wyniki analizy medycznej” lub „Invitro-106650152-1.pdf” (Invitro to jedno z największych laboratoriów medycznych w Rosji).

Czego chcą atakujący

MontysThree poszukuje konkretnych dokumentów w formatach Microsoft Office i Adobe Acrobat umieszczonych w różnych katalogach i na podłączonych nośnikach. Po zainfekowaniu szkodliwy program profiluje komputer ofiary, wysyłając do swojego serwera kontroli informacje o wersji systemu, listę procesów, zrzuty ekranu pulpitu, jak również listę niedawno otwartych dokumentów z rozszerzeniami .doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw i .pwd znajdujących się w katalogach USERPROFILE i APPDATA.

Co jeszcze potrafi MontysThree

Autorzy zaimplementowali w swoim szkodliwym programie kilka dość nietypowych mechanizmów. Na przykład po infekcji moduł downloadera wydobywa i dekoduje moduł główny, który jest zaszyfrowany w obrazie za pomocą steganografii. Według naszych ekspertów atakujący napisali algorytm stenograficzny od początku, zamiast zwyczajnie skopiować go z próbek o otwartym kodzie źródłowym, jak to zwykle bywa.

Szkodliwy program komunikuje się z serwerem kontroli za pomocą usług chmur publicznych, np. Google, Microsoft i Dropbox, jak również WebDAV. Ponadto moduł komunikacji może zgłaszać żądania za pośrednictwem RDP i Citrix. Co więcej, autorzy szkodliwego programu nie umieścili w swoim kodzie żadnych protokołów komunikacyjnych, a nawet zastosowali zupełnie przeciwna taktykę — MontyThree korzysta z legalnych programów (klientów RDP i Citrix, przeglądarki Internet Explorer).

Aby więc szkodliwy program przebywał w systemie ofiary jak najdłużej, dodatkowy moduł modyfikuje skróty na panelu Windows Quick Launch: gdy użytkownik uruchamia skrót (na przykład do przeglądarki), równocześnie uruchamiany jest moduł programu ładującego MontyThree.

Kim są atakujący

Nasi eksperci nie dostrzegli oznak łączących twórców zagrożenia MontysThree z poprzednimi atakami. Na pierwszy rzut oka jest to całkowicie nowe ugrupowanie cyberprzestępcze, a sądząc po fragmentach tekstu w kodzie, rodzimym językiem autorów jest język rosyjski. Do głównych celów szkodliwego programu należały przeważnie rosyjskojęzyczne firmy; część katalogów, które sprawdzało szkodliwe oprogramowanie, istnieje w systemie tylko w cyrylicy. Nasi eksperci okryli szczegóły konta w usługach komunikacyjnych, które sugeruje źródło ataku w Chinach, jednak według nich są to fałszywe tropy, których zadaniem jest zaciemnianie śladów atakujących.

Szczegółowy opis techniczny MontysThree, jak również wskaźniki włamania, są dostępne w naszym poście w serwisie Securelist.

Co zrobić w tej sytuacji

Najpierw przekaż wszystkim pracownikom, że ataki ukierunkowane najczęściej rozpoczynają się od wiadomości e-mail, dlatego podczas otwierania plików muszą zachować maksymalną czujność, zwłaszcza jeśli otrzymają je nieoczekiwanie. Aby mieć całkowitą pewność, że pracownicy zrozumieli, dlaczego muszą mieć oczy i uszy otwarte, należy nie tylko omówić z nimi zagrożenia, jakie wiążą się z takim zachowaniem, ale także rozwijać umiejętności zapewniające ochronę przed współczesnymi zagrożeniami — na przykład za pomocą rozwiązania Kaspersky Automated Security Awareness Platform.

Co więcej, aby zapewnić sobie ochronę przed wyrafinowanymi atakami ukierunkowanymi, korzystaj ze zintegrowanych rozwiązań zabezpieczających, które łączą ochronę stacji roboczych, możliwości EDR oraz narzędzia dodatkowe służące do analizy i zatrzymywania zagrożeń.

Porady