ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map     

Solar JSOC выявил новую киберпреступную группировку

21.09.2020

Центр мониторинга и реагирования на киберугрозы Solar JSOC обратил внимание на новую команду хакеров, которая взламывает банковские и энергетические компании. На её вооружении неизвестное ранее вредоносное ПО и сложные схемы атаки. Группировке присвоили название «TinyScouts», составив его из имён двух главных функций в коде.

Рабочую схему команды хакеров можно условно поделить на три этапа. На первом сотрудник фирмы получает фишинговое письмо с ссылкой. Письмо может быть таргетированным и напрямую относиться к деятельности фирмы, либо в нём может содержаться сообщение о новой волне эпидемии с припиской «перейдите по ссылке, чтобы узнать подробней».

Второй этап начинается после того, как сотрудник переходит по ссылке в письме. В несколько шагов загружается основной компонент вредоносного ПО. Каждый отдельный шаг не провоцирует антивирус или встроенную службу безопасности, поскольку законен сам по себе. Здесь хакеры действуют очень аккуратно. Загрузка происходит через сеть TOR, поэтому не работает запрет антивируса на конкретный IP, раздающий вредоносное ПО: сеть децентрализована.

Этап третий: программа собирает и передаёт информацию о зараженном компьютере. Далее есть разные варианты развития событий: если нет крупной выгоды для хакеров в заражённом устройстве, то на него загружается дополнительный модуль – «вымогатель». Вся информация шифруется, а программа требует выкуп за расшифровку. Перед этим она отправляет пароли пользователя из браузеров и почтовых программ. Заметных следов активности она не оставляет, поскольку не требует установки и не делает записей в реестре.

В случае, если заражённый компьютер носит в себе крупную потенциальную выгоду, скачивается дополнительное ПО, защищенное несколькими слоями шифрования. После этого хакеры получают к компьютеру удалённый доступ и полный контроль над ним. Отсюда им становятся возможны операции с финансами, доступ к конфиденциальным данным, шпионаж и прочее. Этот компонент ПО написан на PowerShell. Поэтому можно отнести его к тем редким случаям, когда этот язык не просто используется в ходе атаки, а служит для написания отдельной вирусной программы.

Руководитель отдела расследования инцидентов Solar JSOC считает, что такая схема работы свидетельствует не только о технической оснащённости и опытности хакеров, но и об их готовности к атакам на крупные организации:

«TinyScouts используют такое вредоносное ПО и такие методы его доставки, упоминание о которых мы не нашли в открытых источниках, а значит можно сделать предположение о том, что это работа новой группировки. Этот факт вкупе с количеством уловок, направленных на то, чтобы остаться незамеченными, и индивидуальность сценария атаки для каждой конкретной жертвы говорит о том, что это не просто еще одна команда, организующая нецелевые массовые атаки. По нашим оценкам, технические навыки TinyScouts совершенно точно не ниже, чем у группировки, стоящей, например, за атаками Silence, а в технических аспектах доставки ПО на машину жертвы TinyScouts даже превосходят их, хотя и уступают APT-группировкам и правительственным кибервойскам.» 

Возврат к списку

qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram