Российские производители вооружений подверглись массированной хакерской атаке

Цели новой атаки Целями новой кибератаки вида APT (Advanced Persistent Threat — целенаправленная атака повышенной сложности) стали производители оружия, борцы за права человека и различные общественные организации в России и в нескольких близлежащих странах (Монголии, Белоруссии) и в нескольких европейских государствах, сообщает компания Proofpoint, специализирующаяся на информационной безопасности. По словам специалистов, атакующие действуют из Китая или, по крайней мере, создают такую видимость. Они также добавили, что атака продолжается с начала 2016 г. Использование архива RAR Заражение компьютеров жертв выполняется путем рассылки сообщений электронной почты с вредоносными ссылками или вложениями. Накануне рассылки хакеры изучают новости в сфере вооружений, военных учений, геополитики, ядерных вооружений и других близких тем. Затем, на основе наиболее актуальных событий, они формируют RAR-архив, содержащий исполняемый файл SCR с актуальным названием. Далее этот архив помещается на поддельных новостных сайтах. Например, в одном из случаев ссылка в письме имела следующий формат: www.info-spb[.]com/analiz/voennye_kommentaria/n148584.rar. А архив n148584.rar содержал исполняемый файл «Нападение на американские космические системы очень дорого обойдется.scr». Вот еще несколько примеров имен файлов: «Сервисное обслуживание и ремонт военной техники связи.scr», «Текст приветствия Главы государства.scr», «Пятнадцатое заседание Коллегии Евразийской экономической комиссии.scr», «Совместное антитеррористическое учение «Антитеррор-2016».scr» и «Изменения в списке аффилированных лиц по состоянию на 20.04.2016 г.scr». После запуска файла в систему устанавливается вредоносное приложение под названием NetTraveler (или TravNet). http://filearchive.cnews.ru/img/cnews/2016/07/11/500_3bdf7.jpg"> Пример вредоносного файла Word, прикрепляемого к письму [b]Использование уязвимости в Office[/b] В ряде случаев вместо ссылки злоумышленники прикрепляют к письму файл, например, с именем «Новый щит и новый меч Вооруженные Силы России и США.doc». Он действительно представляет собой документ Microsoft Word и содержит текст на упомянутую тему. В действительности же файл позволяет злоумышленникам с помощью уязвимости в Microsoft Office под номером CVE-2012-0158 также установить в систему жертвы приложение NetTraveler. После того как злоумышленники получают с помощью NetTraveler доступ к системе, они могут изучать хранящиеся на компьютерах файлы, читать электронную почту и другими способами собирать интересующую их информацию. [b]Другие кампании[/b] По словам специалистов Proofpoint, впервые вредоносное приложение NetTraveler было обнаружено в 2004 г. С тех пор оно используется время от времени. При этом аналитики добавили, что организаторы нынешней атаки — те же лица, которые в 2015 г. в течение нескольких месяцев [url=http://www.cnews.ru/news/top/2016-07-11_hakery_atakovali_rossijskih_postavshchikov_oruzhiya] Ссылка на источник[/url][img]http://filearchive.cnews.ru/img/cnews/2016/07/11/500_3bdf7.jpg"> Пример вредоносного файла Word, прикрепляемого к письму Использование уязвимости в Office В ряде случаев вместо ссылки злоумышленники прикрепляют к письму файл, например, с именем «Новый щит и новый меч Вооруженные Силы России и США.doc». Он действительно представляет собой документ Microsoft Word и содержит текст на упомянутую тему. В действительности же файл позволяет злоумышленникам с помощью уязвимости в Microsoft Office под номером CVE-2012-0158 также установить в систему жертвы приложение NetTraveler. После того как злоумышленники получают с помощью NetTraveler доступ к системе, они могут изучать хранящиеся на компьютерах файлы, читать электронную почту и другими способами собирать интересующую их информацию. Другие кампании По словам специалистов Proofpoint, впервые вредоносное приложение NetTraveler было обнаружено в 2004 г. С тех пор оно используется время от времени. При этом аналитики добавили, что организаторы нынешней атаки — те же лица, которые в 2015 г. в течение нескольких месяцев Ссылка на источник