Хакерская группировка Librarian Ghouls расширила целевой список с офисных документов на чертежи и 3D-модели промышленных объектов. По данным «Лаборатории Касперского», злоумышленники добавили в перечень целевых форматов файлы AutoCAD, SolidWorks и Autodesk Inventor, сосредоточив атаки на российских предприятиях ракетно-космической, авиационной и оборонной отраслей.
Эволюция тактики Librarian Ghouls
Несмотря на то, что основные инструменты и методы распространения вредоносного ПО остались прежними, хакеры существенно расширили список целевых файлов. Теперь, помимо традиционных офисных документов и данных из мессенджера Telegram, злоумышленники охотятся за файлами специализированного ПО для промышленного проектирования.
Новые форматы-мишени
В список целевых форматов добавились:
- *.dwg, *.dxf (AutoCAD)
- *.sldprt, *.sldasm (SolidWorks)
- *.ipt, *.iam (Autodesk Inventor)
Это свидетельствует об интересе к чертежам, 3D-моделям и технической документации промышленных объектов.
Механизм атаки: от фишинга до кражи данных
Злоумышленники используют фишинговые email-рассылки с вредоносными RAR-архивами, содержащими файлы с расширением .SCR. Названия этих файлов имитируют легитимные офисные документы, что повышает шансы на их открытие жертвой. При запуске такого файла на компьютер загружается дополнительное вредоносное ПО, которое собирает конфиденциальные данные и отправляет их на сервер злоумышленников.
Примеры фишинговых заголовков
Исследователи выявили характерные темы вредоносных писем:
- «О ведении Каталога Российской ЭКБ (6-3223 от 30.08.2024)»
- «Срочный запрос КП от Военмеха»
Эти заголовки демонстрируют целенаправленность атак на российские промышленные и оборонные предприятия.
Целевые отрасли: оборонный и промышленный сектора России
Среди потенциальных жертв группировки:
- Научно-исследовательские институты
- Предприятия ракетно-космической и авиационной отрасли
- Производители оборудования для нефтегазового и энергетического секторов
- Компании, разрабатывающие системы связи и радиолокации
- Производители автокомпонентов и АСУ ТП
- Разработчики полупроводниковых приборов и силовых модулей
Предприятиям из перечисленных секторов рекомендуется настроить блокировку входящих RAR-архивов с .SCR-файлами внутри на почтовом шлюзе, запретить исполнение .SCR-файлов через групповые политики Windows и провести целевой инструктаж сотрудников по распознаванию фишинговых писем с тематикой госзакупок и технических регламентов.
