Злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными.
Неизвестные киберпреступники организовали атаку на компании в сфере нефтяной промышленности США. В рамках вредоносной кампании для кражи данных использовался троян для удаленного доступа (RAT) Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat), который ранее п рименялся против компаний электроэнергетического сектора.
По словам исследователей из Netskope, атаки осуществляются с домена, принадлежащего австралийскому интернет-провайдеру Westnet. Остается неясным, является ли участники группировки клиентами Westnet или они скомпрометировали учетные записи клиентов и используют их для распространения Adwind.
Adwind RAT предлагается на ряде торговых площадок в даркнете по модели вредоносное ПО-как-услуга (malware-as-a-service) и за последние два года неоднократно использовался в различных кампаниях. Вредонос способен шифровать и фильтровать данные, захватывать изображения web-камеры, проверять жесткие диски на наличие определенных файлов на основе расширений в конфигурации вредоносного ПО, внедрять вредоносный код в легитимные процессы для избежания обнаружения и мониторить состояние системы. ПО изменяет параметры реестра для обеспечения персистентности и может отключать межсетевые экраны, антивирусные решения и другие службы безопасности на зараженных устройствах.
По словам исследователей, в новом варианте Adwind преступники реализовали сложные методы обфускации. Анализ вредоносного ПО показал, что оно использует несколько встроенных JAR-архивов (Java Archive) перед распаковкой окончательной полезной нагрузки. Уровень обфускации был настолько эффективным, что только 5 из 56 антивирусных решений на VirusTotal смогли обнаружить вредоносное ПО.
Согласно проведенному анализу, злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными. Они также заинтересованы в поиске такой информации, как FTP-пароли и SSH-ключи, которые могут дать больший доступ к сети.
