Hlavní navigace

Kaspersky varuje před malwarem MontysThree cílícím na průmyslové holdingy

12. 10. 2020
Doba čtení: 2 minuty

Sdílet

 Autor: (c) Gorodenkoff - Fotolia.com
Přestože zacílené špionážní kampaně proti průmyslovým subjektům vzácné, mohou mít pro podnikání zničující důsledky. Experti Kasperského podrobně popisuí malware MontysThree.

Odborníci společnosti Kaspersky odhalili sérii zacílených útoků na průmyslové holdingy, ke kterým poprvé došlo už v roce 2018. Sada nástrojů, kterou autoři malwaru původně pojmenovali MT3, dostala od expertů pojmenování MontysThree.

Podle Kasperského využívá různé techniky, aby se vyhnula detekování, včetně hostování komunikace s řídicím serverem na veřejných cloudových službách. K ukrytí hlavního škodlivého modulu využívá techniku steganografie.

Kyberbezpečnostní společnost upozorňuje, že k získání citlivých informací využívá MontysThree malwarový program, který se skládá ze čtyř modulů. První se zpočátku šíří pomocí souborů RAR SFX, které obsahují jména ze seznamu zaměstnanců, technickou dokumentaci nebo lékařské zprávy.

Dle expertů se tak jedná o klasický příklad spear-phishingu, kterým se kyberzločinci snaží oklamat zaměstnance ke stažení souboru. Primárním cílem loaderu je zabránění detekce malwaru v systému pomocí steganografie.

Malware útočí na nejpoužívanější aplikace

Kaspersky vysvětluje, že steganografii kyberzločinci využívají k zamaskování skutečnosti, že dochází k výměně dat. V případě MontysThree je hlavní škodlivá komponenta maskovaná jako bitmapový soubor.

MontysThree je dle expertů speciálně navržený k útokům na Microsoft a Adobe Acrobat, může ale také pořizovat snímky obrazovky a shromažďovat informace o síťovém nastavení, názvu počítače a jiné informace, na základě nichž vyhodnotí zajímavost cíle.

Shromážděné informace jsou následně hostovány na veřejných cloudových službách jako jsou Google, Microsoft nebo Dropbox. To ztěžuje detekci komunikačního provozu a jeho označení za škodlivý vzhledem k tomu, že tyto služby neblokuje žádný antivirový program.

Útoky budou pravděpodobně pokračovat

MontysThree také dle Kasperského používá jednoduchou metodu pro získání trvalého přístupu do infikovaného systému – modifikovaný Windows Quick Launch. Uživatelé při použití tohoto nástroje sami neúmyslně spustí počáteční modul malwaru při každém spuštění legitimních aplikací.

Odborníkům z kyberbezpečnostní společnosti se dle vlastních slov nepodařilo najít žádné podobnosti ve škodlivém kódu ani infrastruktuře s žádnou známou APT skupinou.

MontysThree je zajímavý nejen tím, že se zaměřuje na průmyslové firmy, ale také kombinací sofistikovaných a zároveň amatérských technik a postupů,“ podotýká Denis Legezo, člen speciálního týmu GReAT společnosti Kaspersky.

ICTS24

Alarmující je především zjištění, že hackeři vyvinuli značné úsilí na vývoj vlastních nástrojů, z čehož usuzujeme, že ve svých útocích budou pokračovat,“ varuje.

Zdroj: Kaspersky

Čtěte dále

Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
PoE extender od Zyxel Networks pomáhá překonat problémy s nasazením sítí na velké vzdálenosti
PoE extender od Zyxel Networks pomáhá překonat problémy s nasazením sítí na velké vzdálenosti
Jak se proaktivně bránit moderním hrozbám? Ukáže Cyber Security 2024
Jak se proaktivně bránit moderním hrozbám? Ukáže Cyber Security 2024
Anketa ChannelWorldu o monitorech: Odpovídá Petr Zajíček (Dell)
Anketa ChannelWorldu o monitorech: Odpovídá Petr Zajíček (Dell)
IDC: Trh zařízení pro chytrou domácnost ožívá, ale velmi pomalu
IDC: Trh zařízení pro chytrou domácnost ožívá, ale velmi pomalu
Arrow Electronics jako první získal cloudový kompetenční certifikát od Broadcomu
Arrow Electronics jako první získal cloudový kompetenční certifikát od Broadcomu