Хакеры нанесли удар по оборонной и авиационно-космической индустрии

Сотрудники Symantec выявили новые кибератаки, нацеленные на различные предприятия оборонной и авиационно-космической промышленности, сообщается в пресс-релизе компании.

Жертвы получали письма с вредоносным содержимым, а в качестве приманки использовался отчет от 2012 года о перспективах развития авиационно-космической и оборонной отрасли.

Всего было выявлено как минимум 12 различных организаций, попавших под удар злоумышленников. Среди этих компаний встречаются выполняющие государственные заказы, связанные с управлением воздушным движением и авиацией.

В письме находился вредоносный pdf-файл, после открытия которого срабатывал эксплойт, использующий уязвимость под названием SWF File Remote Memory Corruption Vulnerability (CVE-2011-0611). В случае, если попытка удавалась, в систему жертвы загружались вредоносные файлы и «чистый» pdf-файл для того, чтобы усыпить бдительность.

Кроме этого «чистого» pdf-файла, в компьютер устанавливалась вредоносная версия файла svchost.exe, размещающая впоследствии в папке Windows вредоносную версию библиотеки ntshrui.dll (данный файл не защищен средствами операционной системы).

После того как svchost.exe запускает explorer.exe, вредоносный файл ntshrui.dll подгружается из папки Windows вместо легитимного, находящегося в системной папке Windows.

По словам специалистов, данная кампания представляет собой нацеленный фишинг и демонстрирует изощренность, а также высокий уровень подготовки киберпреступников.