Kaspersky varuje před malwarem MontysThree cílícím na průmyslové holdingy

12. 10. 2020
Doba čtení: 2 minuty

Sdílet

 Autor: (c) Gorodenkoff - Fotolia.com
Přestože zacílené špionážní kampaně proti průmyslovým subjektům vzácné, mohou mít pro podnikání zničující důsledky. Experti Kasperského podrobně popisuí malware MontysThree.

Odborníci společnosti Kaspersky odhalili sérii zacílených útoků na průmyslové holdingy, ke kterým poprvé došlo už v roce 2018. Sada nástrojů, kterou autoři malwaru původně pojmenovali MT3, dostala od expertů pojmenování MontysThree.

Podle Kasperského využívá různé techniky, aby se vyhnula detekování, včetně hostování komunikace s řídicím serverem na veřejných cloudových službách. K ukrytí hlavního škodlivého modulu využívá techniku steganografie.

Kyberbezpečnostní společnost upozorňuje, že k získání citlivých informací využívá MontysThree malwarový program, který se skládá ze čtyř modulů. První se zpočátku šíří pomocí souborů RAR SFX, které obsahují jména ze seznamu zaměstnanců, technickou dokumentaci nebo lékařské zprávy.

Dle expertů se tak jedná o klasický příklad spear-phishingu, kterým se kyberzločinci snaží oklamat zaměstnance ke stažení souboru. Primárním cílem loaderu je zabránění detekce malwaru v systému pomocí steganografie.

Malware útočí na nejpoužívanější aplikace

Kaspersky vysvětluje, že steganografii kyberzločinci využívají k zamaskování skutečnosti, že dochází k výměně dat. V případě MontysThree je hlavní škodlivá komponenta maskovaná jako bitmapový soubor.

MontysThree je dle expertů speciálně navržený k útokům na Microsoft a Adobe Acrobat, může ale také pořizovat snímky obrazovky a shromažďovat informace o síťovém nastavení, názvu počítače a jiné informace, na základě nichž vyhodnotí zajímavost cíle.

Shromážděné informace jsou následně hostovány na veřejných cloudových službách jako jsou Google, Microsoft nebo Dropbox. To ztěžuje detekci komunikačního provozu a jeho označení za škodlivý vzhledem k tomu, že tyto služby neblokuje žádný antivirový program.

Útoky budou pravděpodobně pokračovat

MontysThree také dle Kasperského používá jednoduchou metodu pro získání trvalého přístupu do infikovaného systému – modifikovaný Windows Quick Launch. Uživatelé při použití tohoto nástroje sami neúmyslně spustí počáteční modul malwaru při každém spuštění legitimních aplikací.

Odborníkům z kyberbezpečnostní společnosti se dle vlastních slov nepodařilo najít žádné podobnosti ve škodlivém kódu ani infrastruktuře s žádnou známou APT skupinou.

MontysThree je zajímavý nejen tím, že se zaměřuje na průmyslové firmy, ale také kombinací sofistikovaných a zároveň amatérských technik a postupů,“ podotýká Denis Legezo, člen speciálního týmu GReAT společnosti Kaspersky.

bitcoin_skoleni

Alarmující je především zjištění, že hackeři vyvinuli značné úsilí na vývoj vlastních nástrojů, z čehož usuzujeme, že ve svých útocích budou pokračovat,“ varuje.

Zdroj: Kaspersky

Čtěte dále

Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi