Исследователи калифорнийской инфосек компании
Proofpoint выпустили
отчет посвященный выявленной кибероперации против энергетических сетей
США.
APT, которую американцы обозначили как
TA410, в период с июля по ноябрь 2019 года проводила фишинговые кампании, нацеленные на поставщиков энергетических услуг по всей территории
США, в ходе которых использовались malware
LookBack и
FlowCloud. Оба вредоноса представляют собой трояны удаленного доступа (RAT), собирающие всю возможную информацию с инфицированной машины и в дальнейшем передающие ее на свой командный центр.
В качестве приманки хакеры использовали документы на тему энергетики и обучающих курсов в этой отрасли. В частности, рассылались фишинговые письма от имени Американского общества инженеров-строителей (ASCE).
Применяемые в ходе кибероперации
RAT достаточно сложны и написаны на высоком уровне. Среди функционала - доступ к буферу обмена, приложениям, клавиатуре, мыши, изображению экрана, файлам, службам и процессам, а также фильтрация полученной информации по заданным параметрам. Некоторые признаки указывают, что это вредоносное ПО было активно в дикой природе с июля 2016 года, но ранее было направлено на цели в
Азии.
Часть
TTPs указывает на сходство
TA410 и
APT10 aka
Stone Panda, китайской хакерской группой активной с 2009 года и нацеленной на аэрокосмические, строительные и телекоммуникационные отрасли, а также на государственный сектор
Японии,
США и
Европы. В то же время,
Proofpoint говорят, что окончательной уверенности в связи
Stone Panda и выявленных фишинговых атак нет, поскольку
TTPs вполне могли быть подделаны, чтобы указать на ложного исполнителя киберкампании.
#APT #TA410 #APT10 #StonePanda
