Исследователи калифорнийской инфосек компании Proofpoint выпустили отчет посвященный выявленной кибероперации против энергетических сетей США.
APT, которую американцы обозначили как TA410, в период с июля по ноябрь 2019 года проводила фишинговые кампании, нацеленные на поставщиков энергетических услуг по всей территории США, в ходе которых использовались malware LookBack и FlowCloud. Оба вредоноса представляют собой трояны удаленного доступа (RAT), собирающие всю возможную информацию с инфицированной машины и в дальнейшем передающие ее на свой командный центр.
В качестве приманки хакеры использовали документы на тему энергетики и обучающих курсов в этой отрасли. В частности, рассылались фишинговые письма от имени Американского общества инженеров-строителей (ASCE).
Применяемые в ходе кибероперации RAT достаточно сложны и написаны на высоком уровне. Среди функционала - доступ к буферу обмена, приложениям, клавиатуре, мыши, изображению экрана, файлам, службам и процессам, а также фильтрация полученной информации по заданным параметрам. Некоторые признаки указывают, что это вредоносное ПО было активно в дикой природе с июля 2016 года, но ранее было направлено на цели в Азии.
Часть TTPs указывает на сходство TA410 и APT10 aka Stone Panda, китайской хакерской группой активной с 2009 года и нацеленной на аэрокосмические, строительные и телекоммуникационные отрасли, а также на государственный сектор Японии, США и Европы. В то же время, Proofpoint говорят, что окончательной уверенности в связи Stone Panda и выявленных фишинговых атак нет, поскольку TTPs вполне могли быть подделаны, чтобы указать на ложного исполнителя киберкампании.
#APT #TA410 #APT10 #StonePanda
APT, которую американцы обозначили как TA410, в период с июля по ноябрь 2019 года проводила фишинговые кампании, нацеленные на поставщиков энергетических услуг по всей территории США, в ходе которых использовались malware LookBack и FlowCloud. Оба вредоноса представляют собой трояны удаленного доступа (RAT), собирающие всю возможную информацию с инфицированной машины и в дальнейшем передающие ее на свой командный центр.
В качестве приманки хакеры использовали документы на тему энергетики и обучающих курсов в этой отрасли. В частности, рассылались фишинговые письма от имени Американского общества инженеров-строителей (ASCE).
Применяемые в ходе кибероперации RAT достаточно сложны и написаны на высоком уровне. Среди функционала - доступ к буферу обмена, приложениям, клавиатуре, мыши, изображению экрана, файлам, службам и процессам, а также фильтрация полученной информации по заданным параметрам. Некоторые признаки указывают, что это вредоносное ПО было активно в дикой природе с июля 2016 года, но ранее было направлено на цели в Азии.
Часть TTPs указывает на сходство TA410 и APT10 aka Stone Panda, китайской хакерской группой активной с 2009 года и нацеленной на аэрокосмические, строительные и телекоммуникационные отрасли, а также на государственный сектор Японии, США и Европы. В то же время, Proofpoint говорят, что окончательной уверенности в связи Stone Panda и выявленных фишинговых атак нет, поскольку TTPs вполне могли быть подделаны, чтобы указать на ложного исполнителя киберкампании.
#APT #TA410 #APT10 #StonePanda
Proofpoint
TA410: Malware Attacks Against U.S. Utilities Sector | Proofpoint US
Proofpoint found malware campaigns sent to US utility providers by threat actor group TA410. Learn about their delivery, techniques, and more.