сентябрь    2025

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

03.09.2025

Российский NGFW уровня Enterprise: UserGate запускает Data Center Firewall для корпоративных клиентов

Читать далее 

02.09.2025

Рексофт выводит на рынок собственную автоматизированную систему управления открытыми горными работами

Читать далее 

02.09.2025

Угроза на уровне ядра: две ошибки в чипах Qualcomm могут скомпрометировать ваши данные

Читать далее 

02.09.2025

Исследование Tech2B Conf: ритейл и финсектор наращивают ИТ-бюджеты, промышленность экономит

Читать далее 

28.08.2025

SpaceWeb усилил инфраструктуру связи и отказоустойчивость хостинг-систем

Читать далее 

показать все 

05.09.2025

DevOps как методология в 2025 году — что уже устарело, что становится must-have, какие инструменты и подходы реально работают в продакшене

Читать далее 

20.08.2025

Как опрос про ИИ-ботов спровоцировал цифровой раскол?

Читать далее 

12.08.2025

Светлана Ткаченко, УЦ РДТЕХ: «Выбор зарубежных СУБД объясним инертностью мышления»

Читать далее 

04.08.2025

Каждому покупателю – по ИИ-агенту

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

27.07.2025

Что сегодня в тренде?

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Новости партнеров / «Доктор Веб»: предприятия ТЭК России подверглись спам-атаке с целью промышленного шпионажа

Компания «Доктор Веб» — российский разработчик антивирусных средств защиты информации под маркой Dr.Web — провела исследование спам-атаки с элементами социнженерии, нацеленной на ряд предприятий топливно-энергетического комплекса России. Первую волну кампании специалисты зафиксировали в апреле текущего года, последняя наблюдаемая активность злоумышленников датируется сентябрем.

Рассылка писем проходила в два этапа. Изначально спам-сообщения содержали офисные документы, автоматически загружающие изображения, и предназначались для выявления тех, кто в дальнейшем гарантированно откроет письма с вредоносным вложением. Письма следующей фазы атаки содержали уже вредоносное вложение, также в виде офисного документа.

Исследование инцидента началось после того как один из пользователей антивируса Dr.Web обратился к нашим специалистам, передав образцы полученных писем.

 Аналитики пришли к выводу, что вероятным сценарием являлась установка специализированных троянов на локальные серверы, критичные для функционирования информационной системы пользователя (контроллеры домена, почтовые серверы, интернет-шлюзы) с целью последующего хищения документов и электронных писем. Таким образом, речь идет о промышленном шпионаже.  «Проведенное исследование также позволяет сделать выводы о “китайском следе” этой атаки. Об этом говорит совокупность признаков, в частности, схожесть доменов управляющих серверов, использованных атакующими, с теми, которые использовались при целевой атаке на государственные и финансовые учреждения России и Монголии в 2015 году», - комментирует выводы исследователей руководитель антивирусной лаборатории «Доктор Веб» Игорь Здобнов.

В ходе атаки на предприятия ТЭК использовался троянец-загрузчик, предназначенный для последующей загрузки других вредоносных программ. Также специалистам «Доктор Веб» удалось выявить два вида троянцев-бэкдоров – один из них является новейшим, а второй использовался в APT-атаке на госучреждения Казахстана и Киргизии, о которой мы сообщали ранее.

 Подобные атаки весьма опасны для предприятий. Если хотя бы один сотрудник откроет письмо с вредоносным вложением, потребуется тщательное лечение всей сети или того изолированного сегмента, в котором находилось инфицированное устройство.  Во избежание подобных атак необходимо организовать фильтрацию почты на вирусы и спам на почтовом сервере, одновременно обеспечив антивирусную защиту самого сервера. У «Доктор Веб» для этого предназначены продукты Dr.Web Mail Security Suite и Dr.Web Server Security Suite. Письма с вредоносными вложениями не должны попадать на компьютеры сотрудников, а злоумышленники не должны проникнуть на сервер обработки почты. Компьютеры сотрудников должны быть защищены корпоративны антивирусом, что не позволит атакующим избежать внимания со стороны специалистов по безопасности компании.  Злоумышленники обычно тщательно готовятся к атаке, вредоносные файлы проходят специальное тестирование и не обнаруживаются используемым средствами защиты (список которых киберпреступники могут определить заранее, например, по условиям проведенных тендеров). Так было и на этот раз. Но отправка файлов в облачный анализатор Dr.Web vxCube мгновенно показала их вредоносную сущность: сервис позволяет воспроизвести действия файла в песочнице «Доктор Веб» и в считанные минуты получить отчет о всех его действиях.  До установки новых приложений или обновлений к ним мы рекомендуем использовать Dr.Web vxCube для выяснения функционала и истинного назначения файлов различного типа, в том числе офисных документов.Атака проводилась с зарубежных серверов и имитировала сервисы другого государства, причем новостные, чтение которых явно не входит в должностные обязанности подавляющего большинства сотрудников – граждан РФ. Мы рекомендуем применять ограничения Офисного контроля Dr.Web для составления списка используемых в повседневной работе ресурсов.

Подробнее о механизмах атаки можно прочитать в материале на сайте «Доктор Веб» https://news.drweb.ru/show/?i=14010&c=0&p=0

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи