Троян BBSRAT атакует оборонно-промышленный комплекс России


Hacker-VzlomИсследователями из компании Palo Alto Networks была выявлена вредоносная кампания, действия которой направлены на организации оборонно-промышленного комплекса России и стран бывшего СССР. Эксперты отметили схожие черты данной вредоносной кампании с операцией Roaming Tiger, которая была обнаружена ESET годом ранее.

Напомним, шпионская кампания Roaming Tiger впервые была зафиксирована в конце 2014 года. Как утверждают в ESET ее жертвами стали организации в:

  • РФ;
  • Украине;
  • Беларуси;
  • Узбекистане;
  • Казахстане;
  • Таджикистане;
  • Киргизии.


В рамках кампании, злоумышленники инфицировали системы жертв трояном семейства PlugX, при этом использовали вредоносные RTF-файлы. Командно-контрольная инфраструктура Roaming Tiger указывала на его китайское происхождение.

Летом 2015 года исследователи из Palo Alto Networks выявили кампания, во многом напоминающую Roaming Tiger. Операция началась еще в августе 2015 года и продолжается до сих пор. Самый пик атак пришелся на октябрь. Злоумышленниками были атакованы предприятия стратегического значения в странах бывшего СССР. При этом использовались те же методы и векторы атак, что и во время Roaming Tiger. Единственное отличие в том, что на смену PlugX пришел совершенно новый инструмент под названием BBSRAT. И хотя оба трояна используют схожие механизмы заражения, однако отличаются друг от друга по архитектуре и модели поведения.

Как минимум в одной из атак злоумышленниками рассылались фишинговые письма, содержащие вложенный вредоносный Word-документ, который эксплуатирует уязвимость в Microsoft Office (CVE-2012-0158). Эта же уязвимость использовалась и в атаках Roaming Tiger. Однако это еще не все совпадения. Например, C&C-архитектура BBSRAT точно такая же, как у PlugX.

Злоумышленники с помощью вредоносных писем пытались инфицировать системы научно-производственного центра "Вигстар", который занимается производством оборудования для российских вооруженных сил и спецслужб.


Обновлено (24.12.2015 22:33)