Раскрыта атака опасного трояна на российские оборонные предприятия

Компания «Доктор Веб» раскрыла таргетированную кибератаку, нацеленную на один из крупных российских концернов, название которого не раскрывается из соображений безопасности.

Andreas Franke/dpa/Corbis

Сообщается, что в ходе нападения злоумышленники использовали вредоносную программу BackDoor.Hser.1. Этот троян-бэкдор распространялся с помощью целевой почтовой рассылки на личные и служебные электронные адреса сотрудников более десяти предприятий, входящих в состав концерна. Любопытно, что все атакованные организации имеют оборонный профиль или обслуживают интересы военно-промышленного комплекса.

Письма маскировались под сообщения от имени сотрудника головной организации холдинга. В заголовке было прописано «Дополнение к срочному поручению от 30.03.15 № УТ-103», а в тексте получателю предлагалось ознакомиться с номенклатурой некоего оборудования, представленной во вложении в формате Microsoft Excel с именем «Копия оборудование 2015.xls».

На деле во вложении содержится эксплойт, использующий уязвимость CVE2012-0158 в некоторых версиях редактора Excel. Заражение происходит при попытке открытия данного файла. После проникновения в систему троян расшифровывает хранящийся в его теле адрес управляющего сервера и устанавливает с ним соединение. Далее в командный центр отсылается информация об атакованном ПК (IP-адрес компьютера, его имя, версия операционной системы, наличие в сети прокси-сервера), после чего зловред ожидает поступления дальнейших инструкций.

Вредоносная программа способна по команде киберпреступников передавать на удалённый сервер список активных процессов, загружать и выполнять другой вредоносный код, а также предоставлять возможность дистанционного управления инфицированным компьютером.