«Фишинг в хату»: как российская банда киберпреступников атакует финансовые компании

российская банда киберпреступников атакует финансовые компании НОВОСТИ

Новая фишинговая команда, получившая название MirrorBlast, развертывает сеть документов Excel с оружием, которые чрезвычайно сложно обнаружить для взлома финансовых организаций. Что такое фишинг. Как определить фишинг и защититься от него мы писали ранее.

MirrorBlast – это название опасного трояна, основная цель которого – проникнуть в ваш компьютер и начать выполнять множество различных вредоносных действий. Такие действия ставят под угрозу работоспособность вашего компьютера и могут привести к потере информации, а также к краже персональных данных. Вредоносное ПО троян MirrorBlast может автоматически загружать и добавлять вирусы и имеет функцию самообновления, это делает его менее заметным и позволяет оставаться в вашей компьютерной системе длительное время.

Что такое MirrorBlast?

Наиболее примечательной особенностью MirrorBlast является низкий уровень обнаружения вредоносных документов Excel кампании программным обеспечением безопасности, что подвергает высокому риску фирмы, полагающиеся исключительно на средства обнаружения вредоносных программ.

Низкоуровневое обнаружение (я буду сокращать до LLD) дает возможность автоматизировать создание метрик (элементов данных), хостов, триггеров и графиков для разных объектов в системе мониторинга. Как пример можно привести мониторинг файловых систем и разделов в Linux — низкоуровневое обнаружение уже идет в поставке Zabbix для этой ОС. Делать тут ничего не надо, достаточно завести нужные хосты в группу, и все.

Что такое низкоуровневое обнаружение?

Макрос Featherlight с нулевым обнаружением

Разработчики этих вредоносных документов приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal. Однако у этих оптимизированных документов есть недостатки, которые, по-видимому, участники готовы принять в качестве компромисса. В частности, код макроса может выполняться только в 32-разрядной версии Office.

Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI. Однако до этого макрос выполняет базовую проверку анти-песочницы на предмет того, совпадает ли имя компьютера с доменом пользователя и совпадает ли имя пользователя с «admin» или «administrator».

По словам исследователей из Morphisec, которые проанализировали несколько образцов сброшенного пакета MSI, он представлен в двух вариантах: один написан на REBOL, а другой — в KiXtart. Вариант REBOL, который закодирован в base64, начинается с извлечения такой информации, как имя пользователя, версия ОС и архитектура.

Затем он ожидает команды C2, которая запускает Powershell, который выполнит второй этап. Однако исследователям не удалось получить этот этап, поэтому его функции неизвестны. Полезная нагрузка KiXtart также зашифрована и также пытается передать основную информацию о машине на C2, включая домен, имя компьютера, имя пользователя и список процессов.

Компания Morphisec была создана около 7 лет назад, в ней сейчас работают 70 человек, а главная идея, на которой компания строит свою деятельность, была разработана в Беэр-Шевском университете им. Бен-Гуриона. Михаил Гуревич приехал в Израиль из Ленинграда в 1990 году в возрасте 8 лет. Он учился в Технионе, где получил Первую степень по компьютерным наукам, а затем окончил магистратуру Беэр-Шевском университете.

Высокомотивированный злоумышленник

Авторами кампании, по всей видимости, являются «TA505», активная российская группа угроз, которая имеет долгую историю творчества в том, как они используют документы Excel в кампаниях по борьбе со спамом.

Впервые деятельность группы TA505 была обнаружена и описана в 2014 году, однако сама группа предположительно существует с 2006 года. Жертвами группы выступают компании различных секторов по всему миру. Группа использует широкий диапазон инструментов предназначенные под любые задачи. Основным способом проникновения в инфраструктуру является фишинг. Находит своих жертв по всему миру, избегая СНГ. По данным исследователей группа, предположительно, русскоговорящая. TA505 Следуют последним трендам: в атаках использовала тему COVID-19 и уязвимость ZeroLogon.

Кто такие и чем известна группа TA505

Morphisec смог связать участников с кампанией MirrorBlast благодаря сходству цепочки заражения с прошлыми операциями, злоупотреблению OneDrive, особенностям методов именования доменов и существованию несоответствия контрольной суммы MD5, которое указывает на атаку 2020 года, запущенную TA505.

TA505 — это очень изощренный злоумышленник, который на протяжении многих лет известен широким спектром вредоносной активности.

Анализ NCCGroup графика работы актера отражает организованную и хорошо структурированную группу, которая использует уязвимости нулевого дня и различные штаммы вредоносных программ в своих атаках. Это включает использование вымогателя Clop для атак с двойным вымогательством.

TA505 также связан с многочисленными атаками с использованием уязвимости нулевого дня в устройствах безопасного обмена файлами Accenture FTA для кражи данных у организаций. Затем злоумышленники попытались вымогать у компаний выкуп в размере 10 миллионов долларов, чтобы не допустить публичной утечки данных на их сайте утечки данных Clop.

Таким образом, ИТ-команды финансовых организаций, на которые распространяется кампания MirrorBlast, не могут снизить уровень защиты своих серверов даже на мгновение.

Оцените статью