Librarian Ghouls занялись промышленным шпионажем

В начале июля мы писали о таргетированной рассылке писем с вредоносными вложениями для сбора конфиденциальной информации с компьютеров различных компаний. Мы продолжаем отслеживать эту активность злоумышленников и обратили внимание на изменения в их поведении. Теперь стоящая за рассылкой группировка, получившая название Librarian Ghouls, интересуется не только офисными документами, но и файлами, используемыми ПО для моделирования и разработки промышленных систем.

Как Librarian Ghouls охотятся за информацией

Методы, используемые злоумышленниками для распространения зловреда и кражи данных, равно как и применяемые ими инструменты, с июля не изменились. Они даже не сменили домен, на который отправляют похищенные данные, — hostingforme[.]nl. По большому счету изменились только названия файлов, которые они используют в качестве приманки, и форматы файлов, которые зловред собирает для отправки на контрольный сервер.

Если быть кратким, то Librarian Ghouls рассылают вредоносные архивы RAR с файлами .SCR, названия которых имитируют офисные документы. Если жертва запускает файл, то зловред скачивает на компьютер дополнительную полезную нагрузку, собирает интересующие злоумышленников данные в архивы и отправляет их злоумышленникам.

В августе и начале сентября наши системы зарегистрировали использование следующих названий файлов, маскирующихся под документы:

• Исх_09_04_2024_№6_3223_Организациям_по_списку_Визуализация_ЭП.scr
• Исх_20_08_2024_№6_3223_Организациям_по_списку_Визуализация.scr
• Исх_28_08_2024_№6_3223_Организациям_по_списку_Визуализация.scr
• Исх_02_09_2024_№6_3223_Организациям_по_списку_Визуализация.scr
• Проект ТТТ 13.08.2024-2.doc.scr
• Проект ТТТ 27.08.2024-2.scr
• Запрос КП.docx.scr

В теме вредоносных писем обычно встречаются такие заголовки:

• О ведении Каталога Российской ЭКБ (6-3223 от 30.08.2024)
• Срочный запрос КП от Военмеха

Чем теперь интересуются Librarian Ghouls

Раньше злоумышленников интересовали только офисные документы (файлы с расширением *.doc, *.docx) и данные из мессенджера Telegram. Они продолжают похищать эти данные, но теперь в список файлов, собираемых зловредом для отправки, было добавлено несколько расширений, характерных для узкоспециализированного ПО:

• .SLDPRT — файлы системы автоматизированного проектирования SolidWorks, которое используется для промышленного дизайна, в частности для 2D- и 3D-моделирования деталей и сборок;
• .cdw — еще один формат системы САПР, на этот раз российской КОМПАС-3D, также используемой для моделирования деталей и узлов;
• .m3d — универсальный формат, применяемый различными программами для создания трехмерных моделей объектов;
• .dwg — формат файла, используемый для хранения двухмерных и трехмерных проектных данных и метаданных. В частности, используется такими программными комплексами САПР, как AutoCAD, CorelCAD и другими.

Кроме того, теперь зловред также похищает и документы в формате *.pdf.

Кого атакуют Librarian Ghouls

Перечень адресатов, которым Librarian Ghouls отправляют вредоносные письма, состоит из предприятий, связанных с проектно-конструкторской деятельностью в разнообразных отраслях. Мы обнаружили попытки атак на:

• научно-исследовательские институты разной направленности;
• предприятия ракетно-космической и авиационной отрасли;
• производителей оборудования для газоперерабатывающей, нефтехимической, атомно-энергетической и оборонной промышленности;
• производителей водолазного оборудования, систем связи и радиолокации, контрольно-кассовой техники, автокомпонентов, АСУ ТП, телекоммуникационного оборудования; защищенных средств связи; полупроводниковых приборов и силовых модулей.

Как оставаться в безопасности?

Для того чтобы защитить предприятие от вредоносных рассылок мы рекомендуем, во-первых, использовать защитное решение на уровне почтового шлюза, которое остановит большую часть атак через электронную почту еще до того, как они доберутся до компьютеров сотрудников. Кроме того, на каждом рабочем устройстве, имеющем доступ в Интернет, должно быть установлено локальное решение, способное проверять запускаемый код и блокировать попытки атаки.

Помимо этого, стоит повышать уровень осведомленности сотрудников о современных киберугрозах, например при помощи специализированной обучающей платформы.