Hlavní navigace

Kaspersky varuje před malwarem MontysThree cílícím na průmyslové holdingy

12. 10. 2020
Doba čtení: 2 minuty

Sdílet

 Autor: (c) Gorodenkoff - Fotolia.com
Přestože zacílené špionážní kampaně proti průmyslovým subjektům vzácné, mohou mít pro podnikání zničující důsledky. Experti Kasperského podrobně popisuí malware MontysThree.

Odborníci společnosti Kaspersky odhalili sérii zacílených útoků na průmyslové holdingy, ke kterým poprvé došlo už v roce 2018. Sada nástrojů, kterou autoři malwaru původně pojmenovali MT3, dostala od expertů pojmenování MontysThree.

Podle Kasperského využívá různé techniky, aby se vyhnula detekování, včetně hostování komunikace s řídicím serverem na veřejných cloudových službách. K ukrytí hlavního škodlivého modulu využívá techniku steganografie.

Kyberbezpečnostní společnost upozorňuje, že k získání citlivých informací využívá MontysThree malwarový program, který se skládá ze čtyř modulů. První se zpočátku šíří pomocí souborů RAR SFX, které obsahují jména ze seznamu zaměstnanců, technickou dokumentaci nebo lékařské zprávy.

Dle expertů se tak jedná o klasický příklad spear-phishingu, kterým se kyberzločinci snaží oklamat zaměstnance ke stažení souboru. Primárním cílem loaderu je zabránění detekce malwaru v systému pomocí steganografie.

Malware útočí na nejpoužívanější aplikace

Kaspersky vysvětluje, že steganografii kyberzločinci využívají k zamaskování skutečnosti, že dochází k výměně dat. V případě MontysThree je hlavní škodlivá komponenta maskovaná jako bitmapový soubor.

MontysThree je dle expertů speciálně navržený k útokům na Microsoft a Adobe Acrobat, může ale také pořizovat snímky obrazovky a shromažďovat informace o síťovém nastavení, názvu počítače a jiné informace, na základě nichž vyhodnotí zajímavost cíle.

Shromážděné informace jsou následně hostovány na veřejných cloudových službách jako jsou Google, Microsoft nebo Dropbox. To ztěžuje detekci komunikačního provozu a jeho označení za škodlivý vzhledem k tomu, že tyto služby neblokuje žádný antivirový program.

Útoky budou pravděpodobně pokračovat

MontysThree také dle Kasperského používá jednoduchou metodu pro získání trvalého přístupu do infikovaného systému – modifikovaný Windows Quick Launch. Uživatelé při použití tohoto nástroje sami neúmyslně spustí počáteční modul malwaru při každém spuštění legitimních aplikací.

Odborníkům z kyberbezpečnostní společnosti se dle vlastních slov nepodařilo najít žádné podobnosti ve škodlivém kódu ani infrastruktuře s žádnou známou APT skupinou.

MontysThree je zajímavý nejen tím, že se zaměřuje na průmyslové firmy, ale také kombinací sofistikovaných a zároveň amatérských technik a postupů,“ podotýká Denis Legezo, člen speciálního týmu GReAT společnosti Kaspersky.

Cloud22

Alarmující je především zjištění, že hackeři vyvinuli značné úsilí na vývoj vlastních nástrojů, z čehož usuzujeme, že ve svých útocích budou pokračovat,“ varuje.

Zdroj: Kaspersky

Čtěte dále

IDC: Výrobci tiskáren jen stěží uspokojují západoevropskou poptávku
IDC: Výrobci tiskáren jen stěží uspokojují západoevropskou poptávku
Kevin Drinkall je marketingovým ředitelem Zyxelu pro EMEA
Kevin Drinkall je marketingovým ředitelem Zyxelu pro EMEA
Jak si usnadnit nákup nábytku on-line
Jak si usnadnit nákup nábytku on-line
Zažijte revoluci v cloudovém byznysu, zapojte se do distribuce Microsoft ERP Packages
Zažijte revoluci v cloudovém byznysu, zapojte se do distribuce Microsoft ERP Packages
Ingram Micro je celoevropským distributorem společnosti Newland
Ingram Micro je celoevropským distributorem společnosti Newland
Webcast: Bezpečnostní katastrofy v roce 2021 …a jak jsme se (ne)poučili
Webcast: Bezpečnostní katastrofy v roce 2021 …a jak jsme se (ne)poučili