Атаки кибергруппировки TaskMasters

По сообщению компании Positive Technologies, ее эксперты из Expert Security Center (PT ESC) обнаружили кибергруппировку (предположительно с азиатскими корнями), которая атаковала более 30 организаций различных отраслей, включая промышленность, энергетический и нефтегазовый секторы, в России, СНГ и других странах. Значительное число жертв находилось в России и СНГ. Главная цель группы – кража конфиденциальной информации организаций. TaskMasters действует на протяжении как минимум нескольких лет: следы ее активности обнаружены начиная с 2010 г.

Группа использовала необычный метод закрепления в инфраструктуре: участники создавали специфические задания (таски) в планировщике задач (поэтому она и получила название TaskMasters). Планировщик задач позволяет выполнять команды ОС и запускать ПО в определенный момент времени, указанный в задаче. Используемый кибергруппировкой планировщик AtNow позволяет выполнять задачи не только локально, но и на удаленных компьютерах сети, и делать это независимо от временных настроек этих узлов. Кроме того, эта утилита не требует установки.

Как поясняют в Positive Technologies, после проникновения в локальную сеть злоумышленники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удаленно используют их для шпионажа. Эксперты предполагают, что члены группы TaskMasters могут быть жителями стран Азии. В коде используемых ими инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая. Кроме того, многие утилиты из пакета TaskMasters содержат сообщения об ошибках и другую отладочную информацию на английском языке с ошибками, так что, видимо, он не является для разработчиков родным.