Complexe atacuri cibernetice asupra sectorului industrial din Europa de Est

Complexe atacuri cibernetice asupra sectorului industrial din Europa de Est

Compania de securitate informatică, Kaspersky, a realizat recent o investigație privind atacurile cibernetice care vizează sectorul industrial din Europa de Est. Ancheta a relevat utilizarea de tactici, tehnici și proceduri avansate (TTP) de către atacatorii cibernetici pentru a compromite organizațiile industriale din regiune. Industrii precum producția, ingineria și integrarea sistemului de control industrial (ICS) au fost afectate în mod deosebit.

Acces la distanță

Specialiștii Kaspersky au descoperit o serie de atacuri țintite, cu scopul de a stabili un canal permanent pentru exfiltrarea datelor. Aceste campanii au prezentat asemănări semnificative cu atacurile cercetate anterior, precum ExCone și DexCone, sugerând implicarea APT31, cunoscut și sub numele de Judgment Panda și Zirconium.

Investigația a dezvăluit utilizarea implanturilor avansate concepute pentru acces la distanță, atestând cunoștințele și expertiza extinse ale atacatorilor în evitarea măsurilor de securitate. Aceste implanturi au permis stabilirea de canale persistente pentru exfiltrarea datelor, inclusiv din sisteme de înaltă securitate.

Scheme complexe de atac

În special, atacatorii au folosit din nou tehnicile DLL Hijacking (adică abuzează de executabile legitime de la terți, care sunt susceptibile să încarce baze de date cu legături dinamice rău intenționate în memoria lor) pentru a încerca să evite detectarea în timp ce rulează mai multe implanturi utilizate în timpul celor 3 etape de atac.

Serviciile de stocare a datelor bazate pe cloud, cum ar fi Dropbox, precum și platformele temporare de partajare a fișierelor, au fost folosite pentru a exfiltra datele și a livra ulterior programe malware. De asemenea, au implementat infrastructura de comandă și control (C2) pe Yandex Cloud, precum și pe servere private virtuale (VPS) obișnuite, pentru a menține controlul asupra rețelelor compromise.

În cadrul acestor atacuri, au fost implementate noi variante ale malware-ului FourteenHi. Descoperită inițial în 2021 în timpul campaniei ExCone care vizează entitățile guvernamentale, această familie de malware a evoluat de atunci cu noi variante care au apărut în 2022 pentru a viza în mod specific infrastructura organizațiilor industriale.

În plus, în timpul investigației a fost descoperit un nou implant de malware, numit MeatBall. Acest implant de tip backdoor are capacități extinse de acces la distanță.