Злоумышленникам удавалось в течение нескольких лет эффективно скрывать атаки с помощью специальных техник.
APT-группировка GreyEnergy в течение уже нескольких лет атакует промышленные предприятия по всей Украине и в странах Восточной Европы. Специалисты компании Nozomi Networks проанализировали активность GreyEnergy и выявили инструменты и тактики, позволившие группировке оставаться незамеченной так долго.
Злоумышленники атаковали промышленные предприятия в Польше и Украине с помощью особого ПО для АСУ ТП. Вредонос попадал на компьютеры через фишинговые письма, написанные на украинском языке. В письмах содержался вредоносный документ Microsoft Word, который после открытия требовал от пользователя «актировать содержимое». Вредоносные письма также требовали от жертвы заполнить вложенную интерактивную форму.
Целенаправленный фишинг – очень популярный у APT-группировок вектор атак. Тем не менее, код GreyEnergy не похож ни на один другой, сообщили аналитики Nozomi Networks. Код хорошо написан и скомпилирован и способен обходить обнаружение продуктами безопасности.
После открытия вредоносного документа (до того, как жертва активирует макросы) на атакуемую систему из удаленного источника загружается образ. Затем вредоносный код легко извлекается и распаковывается с помощью инструмента oledump.
«Закончив анализ, я понял, что упаковщик GreyEnergy отлично замедляет процесс реверс-инжиниринга. Используемые им техники не новы, однако и инструменты, и тактика выбраны с большим умом», - сообщил специалист Nozomi Networks Алессандро Ди Пинто (Alessandro Di Pinto).
Злоумышленники используют созданные ими кастомизированные алгоритмы, которые несложно отразить, но которые довольно надежно защищают полезную нагрузку. Кроме того, применяемые ими техники обхода обнаружения, такие как стирание строк из памяти, позволяют эффективно скрывать атаки.
Ранее активность GreyEnergy также была выявлена специалистами компании ESET. По их мнению, используемое группировкой ПО является прямым «наследником» печально известного BlackEnergy.