Банки и предприятия по всему миру становятся мишенями хакеров в атаках, которые используют почти невидимые вредоносные программы, что делает инфекции чрезвычайно трудными для обнаружения.
Исследователи «Лаборатории Касперского» предупредили, что обнаружили по меньшей мере 140 банков, телекоммуникационных компаний и правительственных организаций в 40 странах с тем же типом инфекции, который охранная фирма обнаружила в своей собственной корпоративной сети два года назад.
Охранная фирма была нацелена на спонсируемую государством группу в течение нескольких месяцев, используя вредоносное ПО, полученное из Stuxnet, которое она окрестила Duqu 2.0.
В то время Касперский заявил, что вредоносная программа, обнаруженная в его корпоративной сети, не похожа ни на что, что он видел раньше: ей удалось избежать обнаружения в течение шести месяцев, находясь исключительно в системной памяти скомпрометированных компьютеров.
Охранная фирма предупредила, что подобная инфекция быстро распространяется среди банков и предприятий по всему миру.
Вредоносная программа использует законные средства системного администратора и безопасности, такие как Metasploit, Mimikatz и PowerShell, чтобы внедрить вредоносное ПО в память компьютера, что делает его практически невозможным для обнаружения в течение длительного периода времени.
Наиболее распространенным методом атаки, по-видимому, является использование Meterpreter, загружаемого с помощью команд PowerShell в физическую память контроллера домена Microsoft, в сочетании с сетевым инструментом NETSH для передачи данных на серверы злоумышленника.
Злоумышленники используют средство постэксплуатации Mimikatz для получения административных привилегий и скрывают свои команды PowerShell в реестре Windows.
Этот метод атаки был впервые выявлен в 2016 году в неназванном банке.
Касперский не смог определить, кто стоит за этими атаками. Он предупредил, что число заражений, скорее всего, намного выше, чем 140, которые он идентифицировал, потому что вредоносное ПО так трудно обнаружить.
Австралия не была включена в список 40 стран, в которых были выявлены зараженные предприятия.
Касперский представит более подробную информацию на саммите Security Analyst Summit в апреле.
