Американские коммунальные предприятия пострадали от спонсируемой государством фишинг-атаки

Злоумышленники выдавали себя за лицензию на инженерные решения в США

Три американских подразделения из сектора коммунальных услуг подверглись кампании фишинг-атак, в которой использовалось новое вредоносное ПО с модулем трояна удаленного доступа (RAT) с целью предоставить злоумышленникам административный контроль над зараженными системами.

Новое вредоносное ПО под названием LookBack было обнаружено исследователями из группы Proofpoint Threat Insight Team после анализа фишинговых атак и их вредоносной нагрузки.

В своем блоге, в котором подробно описывается их открытие, исследователи объяснили, как фишинговые электронные письма выдавали себя за лицензирование инженерных лицензий в США, чтобы они выглядели как законные электронные письма:

«Фишинговые электронные письма, по-видимому, выдавали себя за правление инженерного лицензирования в США, в котором сообщения электронной почты происходили из домена, контролируемого субъектом, nceess [.] Com. Nceess [.] Com, как полагают, является олицетворением домена, принадлежащего Национальному совету экспертов по инженерным исследованиям и геодезии США. Электронные письма содержат вредоносное вложение Microsoft Word, которое использует макросы для установки и запуска вредоносного ПО, которое исследователи Proofpoint назвали «LookBack».

LookBack вредоносное ПО

Фишинговые электронные письма, которые утилиты получали 19 июля и 25 июля, были отправлены с ncess.com, который контролировали злоумышленники, но Proofpoint также обнаружил, что они выдавали себя за несколько других американских инженерных и электрических органов лицензирования с мошенническими доменами. Поскольку только один из доменов использовался в этих недавних атаках на фишинг, существует высокая вероятность того, что в будущем будут запущены другие кампании, использующие подобную тактику.

Вредоносное ПО, удаленное в результате фишинговой кампании, представляет собой троян удаленного доступа, разработанный на C, который позволяет злоумышленникам полностью контролировать взломанные компьютеры после заражения.

Согласно Proofpoint, троянец удаленного доступа LookBack поможет злоумышленникам перечислять службы, просматривать процессы, системные и файловые данные, удалять файлы и выполнять команды, делать снимки экрана, перемещать и щелкать мышью, а также может даже перезагрузить компьютер и удалить себя из зараженный хост.

Вредоносная программа LookBack также содержала несколько компонентов, включая прокси-инструмент управления и командования, называемый GUP, загрузчик вредоносных программ, коммуникационный модуль и троянский компонент удаленного доступа.

Proofpoint также отметил, что фишинг-атака, предпринятая против американских коммунальных служб, может быть работой спонсируемых государством субъектов передовых постоянных угроз (APT) из-за совпадения с другими историческими кампаниями и используемыми макросами.

Американские коммунальные предприятия пострадали от спонсируемой государством фишинг-атаки