Новая кибероперация под кодовым названием ZipLine нацелена на производственные компании, критически важные для глобальных цепочек поставок. Основной удар приходится на предприятия в США, однако цели также зафиксированы в Сингапуре, Японии и Швейцарии. В отличие от традиционных фишинговых атак, злоумышленники используют для первого контакта публичные формы «Свяжитесь с нами» на сайтах компаний, обходя таким образом стандартные фильтры безопасности электронной почты.
Атакующие демонстрируют высокую степень терпения и расчетливости. После первоначального контакта они вступают в многонедельную переписку с сотрудниками целевой компании. В качестве предлога используется предложение о сотрудничестве в реализации инициатив на основе искусственного интеллекта для снижения затрат и повышения эффективности. Для придания легитимности своим намерениям мошенники могут даже предлагать к подписанию соглашения о неразглашении (NDA), полностью избегая языка срочности и тактики запугивания.
Основными целями кампании ZipLine являются промышленные производители, включая машиностроение, металлообработку и производство компонентов, а также компании из секторов аппаратного обеспечения, полупроводников, потребительских товаров, биотехнологий и фармацевтики. Такой выбор указывает на возможные мотивы, связанные с промышленным шпионажем, кражей интеллектуальной собственности или целенаправленным нарушением ключевых логистических цепочек.
После установления доверительного контакта жертве отправляется ZIP-архив с вредоносным содержимым. Техническая цепочка атаки начинается с открытия этого архива, который содержит файл-ярлык Windows (.LNK). Запуск ярлыка инициирует выполнение загрузчика на PowerShell, который, в свою очередь, разворачивает основной вредоносный имплант MixShell непосредственно в оперативной памяти компьютера, что значительно затрудняет его обнаружение антивирусными средствами.
Вредоносное ПО MixShell представляет собой сложный инструмент для кибершпионажа. Для связи с командно-контрольными серверами (C2) он в первую очередь использует DNS-туннелирование — скрытный метод передачи данных, маскирующийся под обычные DNS-запросы. В качестве резервного канала используется протокол HTTP. Основные возможности MixShell включают удаленное выполнение команд, операции с файлами, создание обратного прокси для более глубокого проникновения в сеть и обеспечение скрытого постоянного присутствия в скомпрометированной системе.
Существует также PowerShell-вариант MixShell, обладающий продвинутыми техниками противодействия отладке и уклонения от анализа в «песочницах». Для закрепления в системе он использует стандартный планировщик задач Windows. Однако эта версия не имеет функционала обратного прокси и возможности прямой загрузки файлов, которые присутствуют в основном импланте.
Для сокрытия своей инфраструктуры злоумышленники используют легитимные сервисы. Вредоносные ZIP-архивы размещаются на поддомене herokuapp[.]com, принадлежащем популярной PaaS-платформе Heroku. Кроме того, атакующие регистрируют доменные имена, которые полностью совпадают с названиями реально существующих в США компаний (LLC), и создают для них шаблонные сайты, чтобы успешно проходить поверхностные проверки на легитимность. Для отвлечения внимания жертвы LNK-файл одновременно с запуском вредоноса открывает безобидный документ-приманку, также содержащийся в архиве.
Точная атрибуция кибероперации ZipLine пока не установлена. Однако исследователи безопасности из Check Point Research под руководством Сергея Шайкевича, менеджера группы анализа угроз, обнаружили связь с деятельностью хакерской группы, условно названной UNK_GreenSec. Доказательством служит пересечение цифровых сертификатов, использованных на IP-адресе в атаках ZipLine, с инфраструктурой вредоноса TransferLoader, которую ранее идентифицировали компании Zscaler и Proofpoint.
Успешное проникновение в сеть с помощью MixShell открывает перед злоумышленниками широкий спектр возможностей. Потенциальные риски для атакованных компаний включают кражу коммерческой тайны и интеллектуальной собственности, развертывание программ-вымогателей, проведение атак типа Business Email Compromise (BEC), а также захват учетных записей для совершения финансовых мошенничеств. В глобальном масштабе подобные атаки несут угрозу серьезных сбоев в работе цепочек поставок с каскадным эффектом для мировой экономики.
Изображение носит иллюстративный характер
Атакующие демонстрируют высокую степень терпения и расчетливости. После первоначального контакта они вступают в многонедельную переписку с сотрудниками целевой компании. В качестве предлога используется предложение о сотрудничестве в реализации инициатив на основе искусственного интеллекта для снижения затрат и повышения эффективности. Для придания легитимности своим намерениям мошенники могут даже предлагать к подписанию соглашения о неразглашении (NDA), полностью избегая языка срочности и тактики запугивания.
Основными целями кампании ZipLine являются промышленные производители, включая машиностроение, металлообработку и производство компонентов, а также компании из секторов аппаратного обеспечения, полупроводников, потребительских товаров, биотехнологий и фармацевтики. Такой выбор указывает на возможные мотивы, связанные с промышленным шпионажем, кражей интеллектуальной собственности или целенаправленным нарушением ключевых логистических цепочек.
После установления доверительного контакта жертве отправляется ZIP-архив с вредоносным содержимым. Техническая цепочка атаки начинается с открытия этого архива, который содержит файл-ярлык Windows (.LNK). Запуск ярлыка инициирует выполнение загрузчика на PowerShell, который, в свою очередь, разворачивает основной вредоносный имплант MixShell непосредственно в оперативной памяти компьютера, что значительно затрудняет его обнаружение антивирусными средствами.
Вредоносное ПО MixShell представляет собой сложный инструмент для кибершпионажа. Для связи с командно-контрольными серверами (C2) он в первую очередь использует DNS-туннелирование — скрытный метод передачи данных, маскирующийся под обычные DNS-запросы. В качестве резервного канала используется протокол HTTP. Основные возможности MixShell включают удаленное выполнение команд, операции с файлами, создание обратного прокси для более глубокого проникновения в сеть и обеспечение скрытого постоянного присутствия в скомпрометированной системе.
Существует также PowerShell-вариант MixShell, обладающий продвинутыми техниками противодействия отладке и уклонения от анализа в «песочницах». Для закрепления в системе он использует стандартный планировщик задач Windows. Однако эта версия не имеет функционала обратного прокси и возможности прямой загрузки файлов, которые присутствуют в основном импланте.
Для сокрытия своей инфраструктуры злоумышленники используют легитимные сервисы. Вредоносные ZIP-архивы размещаются на поддомене herokuapp[.]com, принадлежащем популярной PaaS-платформе Heroku. Кроме того, атакующие регистрируют доменные имена, которые полностью совпадают с названиями реально существующих в США компаний (LLC), и создают для них шаблонные сайты, чтобы успешно проходить поверхностные проверки на легитимность. Для отвлечения внимания жертвы LNK-файл одновременно с запуском вредоноса открывает безобидный документ-приманку, также содержащийся в архиве.
Точная атрибуция кибероперации ZipLine пока не установлена. Однако исследователи безопасности из Check Point Research под руководством Сергея Шайкевича, менеджера группы анализа угроз, обнаружили связь с деятельностью хакерской группы, условно названной UNK_GreenSec. Доказательством служит пересечение цифровых сертификатов, использованных на IP-адресе в атаках ZipLine, с инфраструктурой вредоноса TransferLoader, которую ранее идентифицировали компании Zscaler и Proofpoint.
Успешное проникновение в сеть с помощью MixShell открывает перед злоумышленниками широкий спектр возможностей. Потенциальные риски для атакованных компаний включают кражу коммерческой тайны и интеллектуальной собственности, развертывание программ-вымогателей, проведение атак типа Business Email Compromise (BEC), а также захват учетных записей для совершения финансовых мошенничеств. В глобальном масштабе подобные атаки несут угрозу серьезных сбоев в работе цепочек поставок с каскадным эффектом для мировой экономики.
