В конце июля 2024 г. «Лаборатория Касперского» обнаружила ранее неизвестное вредоносное программное обеспечение, которое распространялось через сайт одной из российских энергетических компаний. Оно получило название CMoon. Злоумышленники подменили в нескольких разделах ресурса ссылки на скачивание нормативных документов на другие, ведущие на вредоносные исполняемые файлы. Зловред мог выгружать с зараженного устройства пользователя конфиденциальные и платежные данные, запускать DDoS-атаки на интернет-ресурсы, а также распространяться на другие устройства. Атака могла быть направлена на подрядчиков и партнёров организации. Обнаружив заражение, «Лаборатория Касперского» сразу сообщила о нем владельцам ресурса и вредоносные файлы по ссылкам были удалены. Об этом CNews сообщили представители «Лаборатории Касперского».
Злоумышленники подменили на сайте энергетической компании около двух десятков ссылок, по каждой из которых скачивался самораспаковывающийся архив. Он содержал в себе исходный документ, а также один и тот же исполняемый файл — новое вредоносное ПО, которое аналитики «Лаборатории Касперского» назвали CMoon за соответствующие строки в коде вредоносного файла.
Сложность атаки указывает на то, что она была нацелена на посетителей сайта конкретной организации и была тщательно подготовлена. Червь мог искать и отправлять на сервер злоумышленников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и с внешних носителей, содержащие в тексте подстроки «секрет», «служебн», «парол» и другие ключевые слова — это является признаком целевой атаки. Также могли скачиваться файлы со сведениями о защите системы, действиях пользователя и его учётных данных. Кроме того, зловред мог делать скриншоты экрана.
Из веб-браузеров могли собираться файлы, содержащие сохраненные пароли, файлы cookie, закладки, история посещений, а также сведения для автозаполнения форм, включая данные о кредитных картах.
Червь мог мониторить подключённые USB-накопители. Это позволяло украсть потенциально интересные злоумышленникам файлы со съемных носителей, а также скопировать на них червь и заразить другие компьютеры, к которым накопитель мог быть подключен.
По данным «Лаборатории Касперского», с угрозой столкнулось незначительное количество пользователей. При этом важно, чтобы организации учли новые техники атак в своей политике безопасности, чтобы свести к минимуму риски. Для защиты от таких атак рекомендуется: регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть; использовать комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности; предоставлять сотрудникам отдела кибербезопасности доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence; регулярно создавать резервные копии важных данных, чтобы обеспечить сохранность корпоративной информации в случае чрезвычайных ситуаций.
Поделиться