ГлавнаябезопасностьАмериканские поставщики энергии являются целью нового вредоносного ПО

Американские поставщики энергии являются целью нового вредоносного ПО

Поставщики энергии в США нацелены на фишинговые кампании, которые запустили новый троянец удаленного доступа (RAT), способный предоставить злоумышленникам полный контроль над зараженными системами.

энергетическая вредоносная программа

Атаки произошли в период с июля по ноябрь 2019 года, и стоящая за ними команда - названная TA410 исследователями Proofpoint, обнаружившими кампании, - использовала переносимые исполняемые файлы (PE) и вредоносные макросы Microsoft Word для доставки вредоносного ПО. полезная нагрузка.

Вредоносное ПО под названием FlowCloud представляет собой RAT, которая дает операторам TA410 полный контроль над взломанными устройствами, а также возможность сбора и экспорта информации на саморегулируемых серверах.

Целевые атаки FlowCloud

Кампании FlowCloud продвигали полезную нагрузку RAT с использованием PE-вложений в период с июля по сентябрь 2019 года и изменяли свои документы. Microsoft Word со вредоносными макросами в ноябре 2019 года.

Фишинговые электронные письма, полученные в результате фишинговых кампаний в ноябре 2019 года, создали Американскую строительную компанию (ASCE) и создали домен asce [.] Org.

Чтобы доставить полезную нагрузку RAT, вредоносный макрос операторов TA410 загрузил полезную нагрузку из URL-адреса DropBox и сохранил вредоносную программу PE FlowCloud в формате файла .pem в качестве переменной «Pense1.txt».

Захватчики пытались представить себя как другого хакерская команданазывается TA429 (APT10), включая URL-адрес http: //ffca.caibi379 [.] Com / rwjh / qtinfo.txt в качестве альтернативного сервера загрузки, URL-адрес, известный широкой публике как сервер доставки вредоносных программ APT10.

LookBack и FlowCloud перекрываются

Proofpoint говорит, что существует очевидное совпадение с другим вредоносным ПО с одним Модуль RAT называется LookBack, который также использовался в подобных фишинг-кампаниях, направленных на оказание помощи поставщикам услуг. США.

Основываясь на «макросах общих вложений, методах установки вредоносных программ и перекрывающейся инфраструктуре доставки», исследователи Proofpoint пришли к выводу, что фишинговые кампании В период с июля по ноябрь 2019 года вредоносные программы LookBack и FlowCloud можно отнести к TA410.

Например, TA410 начал использовать его e-mail отправителя Asce [.] Email доставлять вредоносные вложения, которые загружали полезные нагрузки FlowCloud, один домен впервые был замечен в июне 2019 года, когда использовался для признания в качестве части кампаний LookBack.

Кроме того, структура фишинговых писем FlowCloud очень похожа на ту, что использовалась в электронных письмах LookBack, которые были сфальсифицированы Национальным советом по инженерным разработкам и исследованиям США.NCEES) и глобальные органы по сертификации энергии (GEC) в июле 2019 года.

Кампании TA410 LookBack также предназначались для поставщиков поддержки США в период с 5 апреля по 29 августа, обновляя тактику, методы и процедуры (TTP) в середине перехода от неудачных предупреждений об экзаменах к приглашениям на экзамены.

Более подробная информация о кампаниях FlowCloud и полный список IOC, таких как хэши вредоносных программ, IP-адреса командный и контрольный сервер и фишинговые домены доступны в конце отчета Proofpoint.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ