Как сообщают исследователи компании Dragos, иранская APT-группа RASPITE является сравнительно новой (активна с 2017 года) и атакует промышленные предприятия в США, а также в странах Европы, Среднего Востока и Восточной Азии. Атаки на электроэнергетические компании пока ограничиваются только территорией США.

На прошлой неделе компания Symantec опубликовала собственный подробный отчет о деятельности группировки, назвав ее Leafminer. В своих атаках киберпреступники используют как специально созданное кастомное ПО, так и публично доступные инструменты.

Эксперты Symantec выявили список из 809 целей, сканированных группировкой. Цели разделены на группы согласно их роду деятельности и географическому местоположению. В списке значатся организации в ОАЭ, Катаре, Бахрейне, Египте и Афганистане. Кроме того, по данным Dragos, RASPITE также атакует предприятия электроэнергетического сектора в США.

Для заражения систем вредоносным ПО злоумышленники используют технику watering hole – заманивают жертв на представляющие для них интерес вредоносные сайты. Эти сайты являются взломанными и содержат ссылки на ресурсы, устанавливающие SMB-подключение с целью похищения учетных данных Windows. Далее с помощью скриптов злоумышленники устанавливают на атакуемую систему вредоносное ПО, подключающееся к C&C-серверу и предоставляющее им контроль над скомпрометированным ПК.

Согласно отчету Dragos, хотя для RASPITE интерес представляют АСУ ТП, в настоящее время никаких сообщений об атаках, имевших разрушительные последствия, не поступало. На данном этапе группировка ограничивается лишь получением доступа к сетям предприятий электроэнергетического сектора, не вмешиваясь в работу АСУ ТП.

Источник: securitylab.ru