カスペルスキーの ICS CERT による 2022 年の調査では、東ヨーロッパの産業部門に対する一連の攻撃が詳細に調査され、データ漏洩のための新しいツールが明らかになりました。 これらのキャンペーン中に、攻撃者はデータ転送用の永続的なチャネルを確立しようとしました。
専門家は、攻撃に使用されたインプラントをその機能に基づいて 3 つのカテゴリーに分類しました。 最初のカテゴリには、2021 年に ExCone と呼ばれるキャンペーンで発見されたマルウェア ファミリである FourteenHi が含まれます。 このマルウェアは政府機関に対する活動で確認されており、いくつかの亜種がありますが、主な特徴は同じです。
2 番目のカテゴリは第 2 段階のマルウェアで、感染したシステムからデータを収集するために使用されます。 このタイプのマルウェアの一例は 2022 年 5 月に発見され、DLL ハイジャック技術を使用してシステム上での永続性を確保しています。 このマルウェアは、正規のファイルをクラッキングして、悪意のあるペイロードを挿入することができます。
データ引き出し活動の第 3 段階には、3 段階のマルウェア実行チェーンが含まれます。 このフェーズでは、永続性が確立され、リモート サーバーへのファイルのアップロードが処理されます。 攻撃者はまた、Outlook の電子メール ファイルにアクセスし、リモート コマンドを実行し、Dropbox にファイルをアップロードするためのさまざまなマルウェアを配布しました。
さらに、Yandex Disk との間でファイルを移動するように設計されたツールや、さまざまな一時共有サービスにファイルを簡単にアップロードできるように設計された手動データ転送ツールも確認されています。 3 番目のツールは、攻撃ログ データを Yandex 電子メール アカウントに送信するために使用されました。
この新しい情報は、産業分野における攻撃キャンペーンの複雑さと進化を明らかにします。 攻撃者はさまざまなツールやテクニックを使用してデータを窃取し、機密情報を盗みます。 産業部門の組織は、インフラストラクチャのセキュリティを強化し、高度なセキュリティ慣行を採用することで、これらの脅威から身を守ることが不可欠です。
