heh.pl
Kanał informacyjny Heh.pl


Wtorek 19 marca 2024 r.

artykuły | abc komputera (archiwum) | forum dyskusyjne | redakcja


Wtorek, 23 sierpnia 2016, 10:32

Operacja Ghoul: cyberprzestępcy biorą na celownik organizacje przemysłowe, wykorzystując gotowe szkodliwe oprogramowanie

Kaspersky Lab zidentyfikowali nową falę ataków ukierunkowanych wymierzonych w sektor przemysłowy i inżynieryjny w wielu krajach. Stosując odpowiednio spreparowane wiadomości e-mail oraz szkodliwe oprogramowanie oparte na komercyjnym zestawie do tworzenia narzędzi szpiegujących (tzw. spyware), przestępcy polują na cenne dane biznesowe przechowywane w sieciach swoich ofiar. Łącznie grupa Ghoul skutecznie zaatakowała ponad 130 organizacji z 30 krajów, w tym Hiszpanii, Pakistanu, Zjednoczonych Emiratów Arabskich, Indii, Egiptu, Wielkiej Brytanii, Niemiec, Arabii Saudyjskiej oraz innych państw.

W czerwcu 2016 r. badacze z Kaspersky Lab zauważyli falę phishingowych wiadomości e-mail zawierających szkodliwe załączniki. E-maile te były wysyłane głównie do menedżerów najwyższego i średniego szczebla wielu organizacji. Wiadomości wydawały się pochodzić z banku w Zjednoczonych Emiratach Arabskich: wyglądały jak powiadomienie o płatności z banku z załączonym dokumentem SWIFT, w rzeczywistości jednak archiwum to kryło szkodliwe oprogramowanie.
Dalsze dochodzenie przeprowadzone przez analityków z Kaspersky Lab ujawniło, że wiadomości były najprawdopodobniej wysyłane przez ugrupowanie cyberprzestępcze śledzone przez badaczy firmy od marca 2015 r. Wygląda na to, że czerwcowe ataki to najnowsza operacja tej grupy.

Ukryte w załączniku szkodliwe oprogramowanie zostało stworzone w oparciu o komercyjny program spyware HawkEye, który jest sprzedawany w podziemiu cyberprzestępczym (tzw. sieć Darkweb), oferując szereg różnych narzędzi atakującym. Po zainstalowaniu gromadzi określone dane z komputera ofiary, w tym:
  • teksty wprowadzane z klawiatury,
  • dane ze schowka,
  • dane uwierzytelniające serwer FTP,
  • dane dotyczące kont z przeglądarek,
  • dane dotyczące kont z klientów komunikatorów internetowych (Paltalk, Google Talk, AIM i inne),
  • dane dotyczące kont z klientów poczty e-mail (Outlook, Windows Live mail i inne),
  • informacje o zainstalowanych aplikacjach (np. Microsoft Office).

  • Operacja Ghoul - ofiary

    Dane te są następnie wysyłane do serwerów kontroli cyberprzestępców. Na podstawie analizy takich serwerów eksperci z Kaspersky Lab twierdzą, że większość ofiar to organizacje działające w sektorze przemysłowym i budowy maszyn, a pozostałe stanowią podmioty z branży transportowej, farmaceutycznej, produkcyjnej, firmy handlowe, organizacje edukacyjne i inne.

    Wszystkie te firmy posiadają cenne informacje, które można sprzedać na czarnym rynku – zysk finansowy to główny motyw działania osób odpowiedzialnych za operację Ghoul.

    Operacja Ghoul to jedna spośród wielu kampanii, które są prawdopodobnie kontrolowane przez tę samą grupę. Grupa ta jest wciąż aktywna.

      Szkodliwe oprogramowanie wykorzystywane przez ugrupowanie stojące za operacją Ghoul pod następującymi nazwami:
    • Trojan.MSIL.ShopBot.ww
    • Trojan.Win32.Fsysna.dfah
    • Trojan.Win32.Generic


    Wersja do druku
    Poleć znajomym: Udostępnij

    Podobne tematy


    Starsze

    23.08.2016 r.

    ProjectSauron: zaawansowana platforma szpiegowska przechwytująca zaszyfrowaną komunikację rządową, 10:25

    Wzrost liczby sieci zainfekowanych komputerów z systemem Linux, 10:22


    Nowsze

    23.08.2016 r.

    Wybory w Stanach Zjednoczonych oraz Donald Trump - spam w II kw. 2016 r., 10:36

    Cyberprzestępcy rekrutują pracowników z branży telekomunikacyjnej w celu przeprowadzania ataków wewnątrz firm, 10:39


    Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.


    Brak komentarzy. Może warto dodać swój własny?



    Autor:  










    Copyright © 2002-2024 | Prywatność | Load: 1.06 | SQL: 11 | Uptime: 466 days, 17:17 h:m | Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl