ИБ-эксперты Proofpoint рассказали о возросшей активности кибергруппировки Leviathan, которая распространяет вредоносные программы для кражи конфиденциальной информации у корпораций, работающих в сфере кораблестроения и сотрудничающих с военно-морскими силами.
Leviathan активно действует как минимум с 2014 года и интересуется, прежде всего, судостроительной отраслью, военными подрядчиками, исследовательскими институтами и правительственными органами. Целями атак хакеров являются американские и западноевропейские организации, но также в центре внимания Leviathan оказался регион Юго-Восточной Азии.
В фишинговые письма, разосланные хакерами в сентябре этого года, были вложены вредоносные файлы Word и Excel, якобы содержащие резюме, сведения о вакансиях и военные документы.
Киберпреступники воспользовались уязвимостью, которая дает возможность внедрять код для активации скриптов, содержащих команды PowerShell, и устанавливать вредоносные программы. По словам специалистов, киберкампания Leviathan была начата несколько дней спустя выявления этой уязвимости.
Взломав систему, хакеры устанавливали утилиту Orz (Core), которая может выполнять команды, а также осуществлять сбор данных, загрузку и обновление файлов. Кроме того, злоумышленники использовались троянскую программу NanHaiShu, которая дает возможность передавать данные с зараженного устройства на командный сервер.
Ранее, в августе хакеры из Leviathan провели киберкампанию против ряда военных подрядчиков. Злоумышленники замаскировали фишинговые письма с вредоносным URL под документацию корпораций, которые специализируются на судостроении. Тогда киберпреступники воспользовались уязвимостью, позволяющей дистанционно выполнять код и полностью захватывать контроль над инфицированным устройством.
