«Лаборатория Касперского» обнаружила набор вредоносных модулей MontysThree, существующий как минимум с 2018 года и предназначенный для целевых атак на промышленные предприятия. Он использует техники, помогающие избежать детектирования, в том числе сообщение с контрольно-командным сервером через публичные облачные сервисы и стеганографию.
Вредоносное ПО MontysThree состоит из четырёх модулей. Атака начинается с распространения загрузчика с помощью фишинга через самораспаковывающиеся архивы. Названия файлов в таких архивах могут быть связаны со списками контактов сотрудников, технической документацией или результатами медицинских анализов. Загрузчик расшифровывает основной вредоносный модуль из растрового изображения со стеганографией. Для этого применяется специально разработанный алгоритм.
Основной вредоносный модуль использует несколько алгоритмов шифрования, чтобы избежать детектирования, преимущественно RSA для коммуникаций с контрольным сервером и для расшифровки конфигурационных данных. В этих основанных на формате XML данных описываются задачи зловреда: поиск документов с заданными расширениями, в указанных директориях и на съёмных носителях. Данная информация позволила выяснить, что операторов MontysThree интересуют документы Microsoft Office и Adobe Acrobat.
Помимо этого, модули могут снимать скриншоты рабочего стола, определять, интересна ли жертва операторам, анализируя её сетевые и локальные настройки и т.д. Найденная информация шифруется и передаётся в публичные облачные сервисы (Google Drive, Microsoft One Drive, Dropbox), через них же происходит получение новых файлов.
MontysThree также использует простой метод для закрепления в заражённой системе — панель быстрого запуска Windows Quick Launch. Пользователи, сами того не зная, запускают первичный модуль вредоносного ПО каждый раз, когда c помощью этой панели открывают легитимные приложения, например браузеры.
Эксперты «Лаборатории Касперского» не нашли никаких сходств этого вредоносного кода с кодом других целевых кампаний.
«Атаки с использованием инструментов MontysThree выделяются не только тем, что нацелены на промышленные предприятия (хотя это и не уникально, но они не самые популярные мишени для целевых атак), но и сочетанием продвинутых и любительских тактик и методов. Уровень технических решений в этом наборе инструментов заметно разнится. Разработчики MontysThree используют современные надёжные криптографические стандарты и кастомизированную стеганографию. Уровень разработки не такой высокий, как у крупных APT-игроков, но авторы вложили много сил в создание этого набора инструментов и продолжают его развивать, поэтому мы предполагаем, что у них есть вполне определённые цели и данная кампания не является краткосрочной», — прокомментировал Денис Легезо, старший эксперт по кибербезопасности в «Лаборатории Касперского».
Подробная информация об индикаторах компрометации, относящихся к данному набору инструментов, включая хеши файлов и командные серверы, доступна на портале Kaspersky Threat Intelligence Portal.
Чтобы защитить корпоративную инфраструктуру от подобных атак, «Лаборатория Касперского» рекомендует компаниям:
- регулярно проводить тренинги, которые позволяют повышать цифровую грамотность сотрудников и отрабатывать практические навыки, например с помощью платформы Kaspersky Automated Security Awareness Platform, чтобы сотрудники умели распознавать фишинговые письма и другие техники социальной инженерии;
- предоставить команде SOC-центра доступ к сервису Kaspersky Threat Intelligence, позволяющему получать актуальную информацию о новых и уже известных инструментах, техниках и тактиках, используемых злоумышленниками;
- внедрить EDR-решение для обнаружения и изучения угроз, атакующих конечные устройства, и своевременного устранения последствий инцидентов, например Kaspersky Endpoint Detection and Response;
- внедрить корпоративное защитное решение, которое обнаруживает сложные угрозы на уровне сети на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
- обеспечить защиту промышленных конечных устройств с помощью специализированных решений, таких как Kaspersky Industrial CyberSecurity.