Специалисты «Лаборатории Касперского» выявили новую серьезную угрозу кибербезопасности, нацеленную на российский энергетический сектор. Вредоносное ПО под названием CMoon, обнаруженное на сайте крупной энергетической компании, представляет собой сложного червя, способного похищать конфиденциальные данные и проводить DDoS-атаки.
Механизм заражения и распространения CMoon
Злоумышленники использовали изощренный метод распространения вредоноса, подменив на сайте компании около 20 ссылок для скачивания нормативных документов. Вместо легитимных файлов пользователи загружали самораспаковывающийся архив, содержащий как оригинальный документ, так и исполняемый файл малвари CMoon.
Червь, написанный на платформе .NET, обладает широким спектром вредоносных возможностей:
- Кража конфиденциальных и платежных данных с зараженных устройств
- Запуск DDoS-атак
- Распространение на другие компьютеры через USB-накопители
- Сбор паролей, cookies и истории из браузеров
- Создание скриншотов экрана
Целевая атака на критическую инфраструктуру
Анализ функционала CMoon указывает на то, что это была целенаправленная атака на конкретную организацию и ее партнеров. Вредонос искал файлы с определенными ключевыми словами, такими как «секрет», «служебн», «парол», что говорит о намерении похитить специфическую информацию.
Тактика «водопоя» в действии
Эксперты классифицируют данную атаку как watering hole («водопой»). Этот метод подразумевает заражение легитимных веб-сайтов, часто посещаемых целевой аудиторией, вредоносным кодом. В данном случае, атака, вероятно, была направлена на подрядчиков и партнеров энергетической компании.
Технические особенности CMoon
Червь демонстрирует ряд интересных технических характеристик:
- Проверка подключения к интернету через запрос к www.pornhub.com
- Автоматическое подключение к доступным Wi-Fi сетям при отсутствии связи
- Использование TCP-соединения для коммуникации с командным сервером
- Мониторинг и заражение USB-накопителей
Обнаружение CMoon подчеркивает растущую угрозу кибератак на критическую инфраструктуру. Организациям энергетического сектора необходимо усилить меры кибербезопасности, регулярно проводить аудиты своих систем и обучать сотрудников распознаванию потенциальных угроз. Только комплексный подход к защите может обеспечить надежную защиту от подобных изощренных атак.