Репортаж от Wedoany，ESTsecurity обнаружила новый тип атаки с использованием целевого фишинга, при которой злоумышленники отправляют электронные письма с темами вроде «Запрос на подтверждение подозрения на утечку личных данных». Сначала они отправляют поддельные письма реальным ответственным лицам компаний, устанавливают доверие через многократное общение, а затем побуждают их загрузить вредоносные файлы. Сама атака является обычным целевым фишингом, но когда вредоносные ссылки в письмах блокируются решениями безопасности, злоумышленники успокаивают пользователей фразами вроде «похоже на ложное срабатывание», заставляя их открыть ссылку.

Согласно случаям, обнаруженным системой обнаружения APT-угроз центра реагирования на угрозы безопасности ESTsecurity, злоумышленники сначала многократно обмениваются обычными письмами с реальными ответственными лицами конкретных компаний, чтобы установить доверие, а затем побуждают их выполнить вредоносный файл. В первой попытке, поскольку вредоносная ссылка в письме была заблокирована корпоративным решением безопасности, злоумышленники успокоили ответственное лицо, заявив: «После проверки внутренней службой безопасности аномалий не обнаружено, вероятно, ложное срабатывание». Затем, чтобы обойти мониторинг антивирусного ПО, злоумышленники повторно отправили вредоносный код в виде заархивированного файла с паролем. Когда пользователь распаковывает и выполняет вредоносный файл ярлыка Windows (LNK), замаскированный под обычный документ, в фоновом режиме принудительно вызывается 32-разрядная версия PowerShell, что позволяет обойти обнаружение некоторыми решениями безопасности. Пользователь видит обычный документ Excel (XLSX) или PDF с информацией о клиентах, но системная информация уже украдена, и выполняются дополнительные вредоносные действия.

Для уклонения от обнаружения злоумышленники использовали две платформы. Первая использует API обычного облачного сервиса Dropbox в качестве сервера управления и контроля, крадет информацию с ПК и включает функции обнаружения анализа в виртуальной среде. Вторая напрямую связывается с собственным HTTPS-сервером злоумышленников, регистрирует файлы, замаскированные под автоматические обновления известного корейского программного обеспечения безопасности, в автозагрузке, обеспечивая постоянство и скрывая команды. После тщательного анализа трех собранных вредоносных образцов ESRC подтвердила, что все они имеют одинаковую внутреннюю структуру и документы-приманки, замаскированные под информацию о клиентах, то есть одна и та же группа злоумышленников в рамках одной кампании меняет инструменты в зависимости от ситуации. Общие подтвержденные характеристики включают: сложную социальную инженерию с многократным обменом письмами под предлогом утечки личных данных; общую цепочку проникновения с одинаковым начальным способом выполнения через LNK-файлы и использованием корейских документов-приманок; одновременное использование обычного облачного сервиса и собственного домена для обеспечения альтернативного канала при блокировке, а также эксплуатацию множественной инфраструктуры управления и контроля (C2); признаки нацеленности на корейские организации с использованием идентификатора серии кампаний «Pan» и маскировки под корейское программное обеспечение безопасности.

Представитель ESRC подчеркнул, что эта атака, используя тему утечки личных данных, которая больше всего беспокоит руководителей служб безопасности, избежала подозрений; даже если отправитель является внешним лицом, а диалог ведется естественно, при выполнении вложений или переходе по ссылкам необходимо проявлять особую осторожность. Он напомнил, что если файл, уже заблокированный решением безопасности, повторно отправляется с утверждением о ложном срабатывании в виде заархивированного файла с паролем, это явный признак атаки, и его ни в коем случае нельзя выполнять; реальные сотрудники компаний должны отключить опцию «Скрывать расширения для зарегистрированных типов файлов» в настройках проводника Windows и обязательно проверять фактическое расширение (LNK, EXE и т.д.) перед выполнением, вырабатывая безопасные рабочие привычки.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com