Отчет по безопасности Cymulate: Итоги мая

74871354_610365989503789_8691773807095971840_n.png

В мае 2021 года одна из хакерских группировок, скорее всего, DarkSide, предприняла успешную атаку на Colonial Pipeline Co — одну из крупнейших трубопроводных компаний в США. Жертва атаки согласилась заплатить вымогателям 5 миллионов долларов в качестве выкупа. Представляем вам ежемесячный обзор кибератак от компании Cymulate. Также в мае кибератаке подверглись подразделения страхового гиганта AXA в Тайланде, Малайзии, Гонконге и на Филиппинах. Незадолго до атаки страховщик заявил об отказе от своей программы возмещения расходов на оплату выкупа киберпреступникам. По заявлению хакерской группировки Avaddon, в руки злоумышленников попали 3 ТБ конфиденциальных данных, украденных из азиатских офисов AXA.
Среди событий этого месяца нельзя не отметить запрет на рекламу вирусов-шифровальщиков на популярном русскоязычном хакерском форуме XSS. Форум активно используется злоумышленниками для обмена информацией об атаках, уязвимостях, вредоносных программах и способах взлома компьютерных сетей. Активными участниками этого форума являются такие группировки вымогателей, как REvil, LockBit, DarkSide, Netwalker и Nefilim. Причина запрета — желание избежать пристального внимания со стороны правоохранительных органов. По той же причине сменила тактику и российская хакерская группировка APT29, специализирующаяся на кибершпионаже. Их новое оружие — комплексный инструментарий класса Red Team, с помощью которого злоумышленники пытаются проникнуть в атакуемую сеть под видом легитимных пентестеров.

Получившая широкую известность благодаря атаке SolarWinds хакерская группировка NOBELIUM организовала новую фишинговую атаку с использованием взломанной учетной записи американского правительственного фонда USAID на сервисе email-маркетинга. Отправленные мошенническим образом сообщения приглашают пользователя перейти по ссылке на вредоносный URL-адрес. В мае 2021 года хакеры из NOBELIUM воспользовались коммерческим сервисом Constant Contact для рассылки сообщений от имени USAID множеству организаций из различных отраслей. Еще ранее, в начале 2021 года, NOBELIUM провели рекогносцировку: разослали ограниченное число сообщений и отследили, кто из пользователей перешел по ссылке. Никаких вредоносных действий за этим не последовало. Затем NOBELIUM протестировали возможность взлома с помощью файлов в форматеHTML, прикрепленных к фишинговым сообщениям.

В марте злоумышленники повторили попытку, на этот раз использовав документы HTML, содержимое которых было адаптировано под конкретного адресата. Помимо этого, NOBELIUM экспериментировали с переносом зараженного образа ISOиз Firebase непосредственно в документ HTML. Образ ISO, в свою очередь, содержал документ RTF с инкапсулированной вредоносной DLL-библиотекой Cobalt StrikeBeacon. В апреле 2021 года злоумышленники полностью отказались от Firebase в пользу включения в документ HTML образа ISO с адресом удаленного сервера на сервисе api.ipify.org.
В мае 2021 года тактика NOBELIUM снова поменялась. На первом этапе на атакуемую систему помещался специальный компонент ".NET(TrojanDownloader:MSIL/BoomBox)", который загружал дополнительные файлы из облачного хранилища Dropbox. Фишинговая атака NOBELIUM с использованием сервиса Constant Contact была нацелена на примерно 3000 пользователей из болеечем 150 организаций.
Фишинговая атака NOBELIUM с использованием сервиса Constant Contact была нацелена на примерно 3000 пользователей из более чем 150 организаций:
1. Сообщения, отправленные через Constant Contact, выглядели как исходящие от USAID, поскольку в качестве электронного адреса отправителя стоял адрес ashainfo@usaid.gov.
2. В качестве адреса для ответа был указан адрес mhillary@usaid.gov.
3. Перейдя по ссылке в электронном письме, пользователь оказывался на настоящем сайте Constant Contact, который затем перенаправлял его на управляющий сервер NOBELIUM.
4. После этого в систему доставлялся зараженный файл ISO, который распаковывал набор вредоносных файлов в каталог %USER%\AppData\Local\Temp\<случайное имя папки>\.
5. Последовательность вызовов нескольких вредоносных программ позволяла хакерам из NOBELIUM получить постоянный доступ ко взломанной системе.

ОХОТНИКИ ЗА ПАРОЛЯМИ
Завершим мы этот обзор рассказом о технологии, которая использует разработанный компанией Microsoft компоновщик MSBuild для доставки Remcos Remote Access Tool (RAT) и охотника за паролями RedLine Stealer без применения файлов. Зараженные файлы MSBuild содержат в себе исполняемые файлы и несколько сценариев; в ряде случаев они располагаются на российском сайтеjoxi[.]net. Использование MSBuild позволяет злоумышленникам оставаться незамеченными, поскольку вредоносный код помещается непосредственно в оперативную память атакованного компьютера. После запуска троян Remcosсобирает и передает злоумышленникам пароли и другую конфиденциальную информацию.
Чтобы узнать, защищена ли ваша организация от атак злоумышленников, выполните быструю проверку на угрозы, которую предлагает компания
Cymulate.
Эта проверка позволяет самостоятельно убедиться, насколько ваша организация уязвима для атак. В случае обнаружения уязвимостей мы предложим способы их устранения. Кроме того, в пользовательском интерфейсе Cymulate доступна работа с индикаторами компрометации (IOC).

Безопасного вам дня!

Источник: www.cymulate.com