В начале июля мы писали о таргетированной рассылке писем с вредоносными вложениями для сбора конфиденциальной информации с компьютеров различных компаний.
Мы продолжаем отслеживать эту активность злоумышленников и обратили внимание на изменения в их поведении. Теперь стоящая за рассылкой группировка, получившая название Librarian Ghouls, интересуется не только офисными документами, но и файлами, используемыми ПО для моделирования и разработки промышленных систем.
Если быть кратким, то Librarian Ghouls рассылают вредоносные архивы RAR с файлами .SCR, названия которых имитируют офисные документы. Если жертва запускает файл, то зловред скачивает на компьютер дополнительную полезную нагрузку, собирает интересующие злоумышленников данные в архивы и отправляет их злоумышленникам.
В августе и начале сентября наши системы зарегистрировали использование следующих названий файлов, маскирующихся под документы:
Помимо этого, стоит повышать уровень осведомленности сотрудников о современных киберугрозах.
Мы продолжаем отслеживать эту активность злоумышленников и обратили внимание на изменения в их поведении. Теперь стоящая за рассылкой группировка, получившая название Librarian Ghouls, интересуется не только офисными документами, но и файлами, используемыми ПО для моделирования и разработки промышленных систем.
Как Librarian Ghouls охотятся за информацией
Методы, используемые злоумышленниками для распространения зловреда и кражи данных, равно как и применяемые ими инструменты, с июля не изменились. Они даже не сменили домен, на который отправляют похищенные данные, — hostingforme[.]nl. По большому счету изменились только названия файлов, которые они используют в качестве приманки, и форматы файлов, которые зловред собирает для отправки на контрольный сервер.Если быть кратким, то Librarian Ghouls рассылают вредоносные архивы RAR с файлами .SCR, названия которых имитируют офисные документы. Если жертва запускает файл, то зловред скачивает на компьютер дополнительную полезную нагрузку, собирает интересующие злоумышленников данные в архивы и отправляет их злоумышленникам.
В августе и начале сентября наши системы зарегистрировали использование следующих названий файлов, маскирующихся под документы:
- Исх09_04_2024№6_3223_ОрганизациямпоспискуВизуализацияЭП.scr
- Исх20_08_2024№6_3223_Организациямпосписку_Визуализация.scr
- Исх28_08_2024№6_3223_Организациямпосписку_Визуализация.scr
- Исх02_09_2024№6_3223_Организациямпосписку_Визуализация.scr
- Проект ТТТ 13.08.2024-2.doc.scr
- Проект ТТТ 27.08.2024-2.scr
- Запрос КП.docx.scr
- О ведении Каталога Российской ЭКБ (6-3223 от 30.08.2024)
- Срочный запрос КП от Военмеха
Чем теперь интересуются Librarian Ghouls
Раньше злоумышленников интересовали только офисные документы (файлы с расширением *.doc, *.docx) и данные из мессенджера Telegram. Они продолжают похищать эти данные, но теперь в список файлов, собираемых зловредом для отправки, было добавлено несколько расширений, характерных для узкоспециализированного ПО:- .SLDPRT — файлы системы автоматизированного проектирования SolidWorks, которое используется для промышленного дизайна, в частности для 2D- и 3D-моделирования деталей и сборок;
- .cdw — еще один формат системы САПР, на этот раз российской КОМПАС-3D, также используемой для моделирования деталей и узлов;
- .m3d — универсальный формат, применяемый различными программами для создания трехмерных моделей объектов;
- .dwg — формат файла, используемый для хранения двухмерных и трехмерных проектных данных и метаданных. В частности, используется такими программными комплексами САПР, как AutoCAD, CorelCAD и другими.
Кого атакуют Librarian Ghouls
Перечень адресатов, которым Librarian Ghouls отправляют вредоносные письма, состоит из предприятий, связанных с проектно-конструкторской деятельностью в разнообразных отраслях. Мы обнаружили попытки атак на:- научно-исследовательские институты разной направленности;
- предприятия ракетно-космической и авиационной отрасли;
- производителей оборудования для газоперерабатывающей, нефтехимической, атомно-энергетической и оборонной промышленности;
- производителей водолазного оборудования, систем связи и радиолокации, контрольно-кассовой техники, автокомпонентов, АСУ ТП, телекоммуникационного оборудования; защищенных средств связи; полупроводниковых приборов и силовых модулей.
Как оставаться в безопасности?
Для того чтобы защитить предприятие от вредоносных рассылок мы рекомендуем, во-первых, использовать , которое остановит большую часть атак через электронную почту еще до того, как они доберутся до компьютеров сотрудников. Кроме того, на каждом рабочем устройстве, имеющем доступ в Интернет, должно быть установлено , способное проверять запускаемый код и блокировать попытки атаки.Помимо этого, стоит повышать уровень осведомленности сотрудников о современных киберугрозах.
