Odborníci společnosti Kaspersky odhalili sérii zacílených útoků na průmyslové holdingy, ke kterým poprvé došlo už v roce 2018. Sada nástrojů, kterou autoři malwaru původně pojmenovali MT3, dostala od expertů pojmenování MontysThree.
Podle Kasperského využívá různé techniky, aby se vyhnula detekování, včetně hostování komunikace s řídicím serverem na veřejných cloudových službách. K ukrytí hlavního škodlivého modulu využívá techniku steganografie.
Kyberbezpečnostní společnost upozorňuje, že k získání citlivých informací využívá MontysThree malwarový program, který se skládá ze čtyř modulů. První se zpočátku šíří pomocí souborů RAR SFX, které obsahují jména ze seznamu zaměstnanců, technickou dokumentaci nebo lékařské zprávy.
Dle expertů se tak jedná o klasický příklad spear-phishingu, kterým se kyberzločinci snaží oklamat zaměstnance ke stažení souboru. Primárním cílem loaderu je zabránění detekce malwaru v systému pomocí steganografie.
Malware útočí na nejpoužívanější aplikace
Kaspersky vysvětluje, že steganografii kyberzločinci využívají k zamaskování skutečnosti, že dochází k výměně dat. V případě MontysThree je hlavní škodlivá komponenta maskovaná jako bitmapový soubor.
MontysThree je dle expertů speciálně navržený k útokům na Microsoft a Adobe Acrobat, může ale také pořizovat snímky obrazovky a shromažďovat informace o síťovém nastavení, názvu počítače a jiné informace, na základě nichž vyhodnotí zajímavost cíle.
Shromážděné informace jsou následně hostovány na veřejných cloudových službách jako jsou Google, Microsoft nebo Dropbox. To ztěžuje detekci komunikačního provozu a jeho označení za škodlivý vzhledem k tomu, že tyto služby neblokuje žádný antivirový program.
Útoky budou pravděpodobně pokračovat
MontysThree také dle Kasperského používá jednoduchou metodu pro získání trvalého přístupu do infikovaného systému – modifikovaný Windows Quick Launch. Uživatelé při použití tohoto nástroje sami neúmyslně spustí počáteční modul malwaru při každém spuštění legitimních aplikací.
Odborníkům z kyberbezpečnostní společnosti se dle vlastních slov nepodařilo najít žádné podobnosti ve škodlivém kódu ani infrastruktuře s žádnou známou APT skupinou.
„MontysThree je zajímavý nejen tím, že se zaměřuje na průmyslové firmy, ale také kombinací sofistikovaných a zároveň amatérských technik a postupů,“ podotýká Denis Legezo, člen speciálního týmu GReAT společnosti Kaspersky.
„Alarmující je především zjištění, že hackeři vyvinuli značné úsilí na vývoj vlastních nástrojů, z čehož usuzujeme, že ve svých útocích budou pokračovat,“ varuje.
Zdroj: Kaspersky