Исследователи обнаружили несколько шпионских кампаний, нацеленных на промышленные предприятия и направленных на кражу учетных данных электронной почты и финансовое мошенничество или их перепродажу другим субъектам.
Злоумышленники используют готовые шпионские инструменты, но развертывают каждый вариант только на очень ограниченное время, чтобы избежать обнаружения.
Примеры обычных вредоносных программ, используемых в атаках, включают AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult и Lokibot.
В частности, продолжительность атак ограничена примерно 25 днями, в то время как большинство шпионских кампаний длятся несколько месяцев или даже лет.
Количество атакованных систем в этих кампаниях всегда меньше сотни, половина из которых — это машины ICS (интегрированные компьютерные системы), развернутые в промышленных средах.
Еще одним необычным элементом является использование коммуникационного протокола на основе SMTP для передачи данных на сервер C2, контролируемый субъектом. В отличие от HTTPS, который используется в большинстве стандартных шпионских кампаний для связи с C2, SMTP — это односторонний канал, предназначенный только для кражи данных.
SMTP не является распространенным выбором для злоумышленников, потому что он не может получать двоичные или другие нетекстовые файлы, но он процветает благодаря своей простоте и способности сочетаться с обычным сетевым трафиком.
Злоумышленники используют украденные учетные данные сотрудников, которые они получают с помощью целевого фишинга, для более глубокого проникновения и перемещения в сети компании. Более того, они используют корпоративные почтовые ящики, скомпрометированные в предыдущих атаках, в качестве C2-серверов для новых атак, что значительно усложняет обнаружение и пометку вредоносной внутренней корреспонденции.