Попадая в систему, вредонос собирает файлы из директорий Desktop, Documents, Photos, Downloads, а также внешних носителей. Атакующие энергетическую компанию взяли в оборот несколько разделов сайта, подменив в них ссылки на скачивание нормативных документов. В результате посетители какое-то время получали URL на загрузку вредоносных исполняемых файлов. Всего таких URL нашлось около двух десятков.
Помимо механизма распространения на другие устройства в сети, CMoon располагает возможностью вытаскивать конфиденциальные и платежные данные жертвы и запускать DDoS-атаки на сайты.
Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Вадим Матвиенко говорит, что эпизод с сетевым червем CMoon позволяет предположить, что злоумышленники создают вредоносное ПО для атак на конкретные организации или даже целые отрасли. «Это указывает на растущую тенденцию к проведению уникальных точечных атак злоумышленниками. Обнаружить новые атаки может быть сложно, поскольку правила для их выявления в средствах защиты информации могут ещё не существовать. Однако для работы с такими угрозами полезны системы обнаружения аномалий, такие как Ankey ASAP. А также квалифицированные специалисты центров мониторинга безопасности (SOC), которые оперативно обрабатывают все инциденты и аномалии в инфраструктуре организаций», – пояснил киберэксперт Вадим Матвиенко.