Хакеры нацелены на биопроизводство с помощью скрытого вредоносного ПО Tardigrade

10
Хакеры нацелены на биопроизводство с помощью скрытого вредоносного ПО Tardigrade

Продвинутая хакерская группа активно атакует предприятия по производству биотехнологий с помощью нового нестандартного вредоносного ПО под названием «Tardigrade».

Злоумышленник использует специальное вредоносное ПО для распространения в скомпрометированных сетях и в течение длительного времени незаметно для себя эксфильтрует данные.

Согласно сообщению, опубликованному сегодня Центром обмена и анализа биоэкономической информации (BIO-ISAC), этот субъект активно нацелился на организации в этой области с весны 2021 года.

Член BIO-ISAC BioBright сообщил Wired, что первые заметные признаки этих атак проявились в виде специфических случаев заражения программами-вымогателями, когда акторы оставляли записки с выкупом, которые не указывали на искреннюю заинтересованность в получении каких-либо платежей.

Цель этих развертываний программ-вымогателей, вероятно, заключалась в том, чтобы скрыть падение реальной полезной нагрузки, метаморфического вредоносного ПО, которое будет встраиваться в скомпрометированные системы, распространяться как червь и извлекать файлы.

Метаморфический SmokeLoader

BIO-ISAC объясняет, что злоумышленники используют специальную метаморфическую версию SmokeLoader под названием Tartigrade, которая доставляется с помощью фишинга или USB-накопителей, которые каким-то образом оказались на территории целевых организаций.

Вредоносная программа особенно интересна в том смысле, что она может перекомпилировать загрузчик из памяти, не оставляя согласованной подписи, поэтому ее намного сложнее идентифицировать, отслеживать и удалять.

SmokeLoader действует как скрытая точка входа для актеров, загружая дополнительные полезные данные, манипулируя файлами и развертывая дополнительные модули.

Предыдущие версии SmokeLoader сильно зависели от внешнего направления, но этот вариант может работать автономно и даже без подключения C2.

Даже если C2 не работает, вредоносная программа продолжает двигаться в боковом направлении на основе внутренней логики и расширенных возможностей принятия решений, даже имея возможность выборочно идентифицировать файлы для модификации.

По состоянию на 25 октября 2021 года BIO-ISAC сообщает, что SmokeLoader может оставаться скрытым примерно от половины антивирусных ядер, используемых в Virus Total.

Защита от атак

Целью злоумышленников является кибершпионаж и, возможно, нарушение работы, но их вредоносное ПО может быть постоянной проблемой для зараженных систем, даже если оно больше не может связываться с серверами управления и контроля.

В  отчете BIO-ISAC  рекомендуются следующие методы для соблюдения стандартных методов сегментации сети, хранения автономных резервных копий ключевой биологической инфраструктуры и выяснения сроков выполнения критически важных компонентов био-инфраструктуры.

  • Изучите сегментацию вашей сети биопроизводства
  • Совместно с биологами и специалистами по автоматизации создайте «жемчужину короны» для вашей компании.
  • Тестируйте и выполняйте автономное резервное копирование ключевой биологической инфраструктуры
  • Узнайте о сроках поставки ключевых компонентов биоинфраструктуры
  • Используйте антивирус с возможностями поведенческого анализа
  • Примите участие в тренинге по обнаружению фишинга
  • Будьте бдительны

Рекомендуется использовать программное обеспечение безопасности с мощными возможностями поведенческого анализа, поэтому даже если SmokeLoader изменит сигнатуру и методы эксфильтрации, подозрительное поведение может быть обнаружено и вызовет тревогу.

На данный момент атрибуция остается неясной, поэтому происхождение этих атак неизвестно.

Исследователи безопасности оспаривают отчет BIO-ISAC

После публикации этой статьи с BleepingComputer связались исследователи в области безопасности, которые были обеспокоены достоверностью отчета BIO-ISAC и представленных в нем технических данных.

В рамках отчета BIO-ISAC связался с   файлом intserrs644.dll, отправленным в VirusTotal, и указал, что это новый загрузчик вредоносных программ Tardigrade, основанный на SmokeLoader.

Однако Виталий Кремез из Advanced Intel и другие исследователи, которые общались с BleepingComputer, утверждают, что эта DLL на самом деле является HTTP-маяком Cobalt Strike, упакованным с помощью шифровальщика Конти, и не имеет никакого отношения к SmokeLoader.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here