Компания Symantec сообщила о ряде кибератак, замеченных на предприятиях оборонной и авиационно-космической промышленности. Специалисты Symantec выявили, что, по меньшей мере, 12 организаций, связанных государственными заказами, авиацией и управлением воздушным движением, подверглись атакам злоумышленников. Жертвам высылались письма с вредоносным содержимым, где в качестве приманки прикреплялся приманки отчет о перспективах развития оборонной и авиационно-космической индустрии. Письма были написаны таким образом, что складывалось впечатление, будто они пришли от сотрудника компании, либо от специалиста, занятого в одной из указанных отраслей. Когда жертвы (топ-менеджеры, директора и вице-президенты) открывали прикрепленный к письму вредоносный pdf-файл, срабатывал эксплойт, пытавшийся использовать уязвимость ‘SWF’ File Remote Memory Corruption Vulnerability. Если попытка оказывалась удачной, в систему загружались вредоносные файлы, а также «чистый» pdf-файл с целью усыпить бдительность пользователя. В итоге в систему устанавливалась вредоносная версия файла svchost.exe, который затем размещал в папке Windows вредоносную версию библиотеки ntshrui.dll. Продукты Symantec определяют вредоносные файлы svchost.exe и ntshrui.dll как Backdoor.Barkiofork. Эти файлы производят переучет дисков, связываются со своим сервером управления через osamu.update.ikwb.com, похищают системную информацию, скачивают и устанавливают свои обновления. Специалисты Symantec рекомендуют организациям обеспечить необходимый уровень защиты электронной почты и своевременно устанавливать исправления.
Получайте новости с allbackup на почту
|