Аналитики компании Bitdefender предупредили, что шпионский вредонос Agent Tesla используется для атак на нефтегазовые компании.

Так, в одной из фишинговых кампаний злоумышленники выдавали себя за себя за египетскую государственную нефтяную компанию Enppi (Engineering for Petroleum and Process Industries), и нацеливали свои атаки на организации в Малайзии, Соединенных Штатах, Иране, Южной Африке, Омане и Турции и других странах.

В рамках другой кампании хакеры прикидывались сотрудниками транспортной компании и использовали подлинную информацию о нефтяном/химическом танкере, чтобы обмануть своих жертв на Филиппинах. Интересно, что во время этой кампании хакеры продемонстрировали прекрасное знание отраслевого жаргона, из-за которого их письма казались настоящими.

В рамках первой кампании злоумышленники выдали себя за представителей Enppi, чтобы запросить закупку оборудования и материалов в рамках проекта Rosetta Sharing Facilities от имени газовой компании Burullus. Такие письма содержали вложенные архивы, предназначенные для доставки Agent Tesla на машины жертв.

Проникнув в систему, малварь собирала учетные данные и конфиденциальную информацию, а затем предавала их на управляющий сервер, расположенный по адресу smtp[:]//smtp.yandex.com:587.

По данным Bitdefender, пик атак пришелся на 31 марта 2020 года, хотя обычное ежедневное количество инцидентов по-прежнему не превышает пять. Малайзия, Ближний Восток, Северная Африка и Соединенные Штаты пострадали от этой кампании больше всего.

Вторая кампания, похоже, началась примерно 12 апреля 2020 года, и теперь целями Agent Tesla стали компании-перевозчики на Филиппинах.

Bitdefender отмечает, что атаки на нефтегазовую отрасль учащаются с октября 2019 года, и достигли максимума в феврале 2020 года. За это время от компаний энергетического сектора поступило более 5000 сообщений о попытках атак, и аналитики полагают, что эта активность может быть связана с колебаниями цен на нефть и нефтяным кризисом.

Исследователи подчеркивают, что это первый случай, когда Agent Tesla используется для атак на компании нефтегазовой отрасли. Дело в том, что сам инфостилер – совсем несложное по меркам экспертов решение. Его нетрудно приобрести на хакерских форумах и им пользуются многие злоумышленники.

AgentTesla — усовершенствованный RAT, то есть троян удаленного доступа, известный ИБ-экспертам с 2014 года. Вредоносная программа написана на .Net и способна отслеживать и собирать вводимые данные с клавиатуры жертвы, из буфера обмена, снимать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook). Малварь способна отключать антивирусные решения и процессы, которые пытаются ее анализировать и мешают работать.

Теги: CSS