Целевые шпионские спам-кампании угрожают предприятиям ТЭК РФ
#вирусы #спам
Целевые шпионские спам-кампании угрожают предприятиям ТЭК РФ

Компания «Доктор Веб» — российский разработчик антивирусных средств защиты информации под маркой Dr.Web — сообщает о выявлении спам-кампании с элементами социнженерии, нацеленной на ряд предприятий топливно-энергетического комплекса России.

В конце апреля 2020 года вирусные аналитики компании «Доктор Веб» зафиксировали спам-кампанию, в ходе которой сотрудникам ряда предприятий топливно-энергетического комплекса России под видом обновленного телефонного справочника рассылались документы с расширением .docx, которые загружали два изображения с удаленных ресурсов.

Одно из них загружалось на пользовательский компьютер с сервера news[.]zannews[.]com. Примечательно, что доменное имя схоже с доменом антикоррупционного медиацентра Казахстана — zannews[.]kz. С другой стороны, используемый домен сразу напомнил о другой известной кампании 2015 года, известной как TOPNEWS, в которой использовался бэкдор ICEFOG, а домены управления троянами имели подстроку «news» в названиях. Другой интересной особенностью стало то, что при отправке писем различным адресатам в запросах на загрузку изображения использовались разные параметры запроса или же уникальные имена изображений. Мы считаем, что это было сделано с целью сбора информации для определения «надежного» адресата, который в последующем гарантированно откроет письмо. Для загрузки изображения со второго сервера использовался протокол SMB, что могло быть сделано для сбора NetNTLM-хешей с компьютеров сотрудников, открывших полученный документ.

Подробнее