Продолжается увеличение доли использования ВПО (вредоносное программное обеспечение) для удаленного управления в атаках как на организации (41%, прирост по сравнению с первым кварталом составил 9 процентных пунктов), так и на частных лиц (42%, прирост составил 5 процентных пунктов). Основным методом успешных атак на частных лиц и одним из основных векторов атаки на организации остается социальная инженерия: доля ее использования составила 92% и 51% соответственно.
Наблюдалось множество крупных утечек, в которых злоумышленники были нацелены на кражу коммерческой тайны организаций, также мы отмечаем объемные утечки биометрии. Во II квартале происходили атаки на исследовательские организации в области ИИ, основной целью которых была кража ценных данных. Мы отмечаем использование различных уловок в атаках шифровальщиков (например, переполнение электронной почты спамом), а также значительные обновления различных типов ВПО: так, стоит отметить добавление модуля с инструментом ИИ в шпионское ПО.
Усиление трендов прошлого квартала: атаки с использованием RAT и нацеленность на разработчиков ПО
По итогам II квартала мы вновь отмечаем рост использования ВПО для удаленного управления в атаках как на организации (41%), так и на частных лиц (42%), что продолжает тренд предыдущего квартала.
Злоумышленники активно распространяют различное ВПО для удаленного управления, в том числе бесплатно. Например, была замечена публикация крупного сборника инструментов RAT (Remote Access Trojan — трояны удаленного доступа) в одном из тематических Telegram-каналов. В сборник вошли и часто встречающиеся в I полугодии ВПО: Remcos RAT, NanoCore RAT, njRAT.
Рост атак с применением RAT, а также различные публикации целых подборок нелегальных инструментов для удаленного управления говорят о большом интересе злоумышленников к таким типам ВПО. Так, по данным сервиса ANY.RUN, во II квартале 2024 года ВПО для удаленного управления занимало лидирующую позицию среди наиболее распространенных вредоносов. Злоумышленники используют RAT, поскольку это ВПО предоставляет постоянный доступ к скомпрометированным системам, позволяя осуществлять шпионаж в течение длительного времени.
Также замечено увеличение доли распространения ВПО через различные менеджеры пакетов, таких как npm, PyPI, — на 15% по сравнению с предыдущим кварталом, об их активном применении в атаках мы писали ранее. Такой способ распространения ВПО вызывает большой интерес у злоумышленников. Используя тайпсквоттинг1, преступники обманом заставляют жертву устанавливать вредоносные пакеты, что приводит к компрометации устройства пользователя и дальнейшему развертыванию различных типов ВПО — например, майнеров или RAT. Отметим, что таким атакам могут быть подвержены как частные лица, так и целые организации, и одними из основных целей злоумышленников в первом полугодии становятся разработчики различных IT-компаний. Успешная атака может привести как к краже учетных данных и их дальнейшей продаже на теневых ресурсах, так и к атакам supply chain.
Атаку с компрометацией цепочки поставок ПО злоумышленник может провести и другим способом. Например, имея в своем арсенале эксплойт, позволяющий захватывать учетные записи npm, преступники смогут внедрить вредоносный код в доверенные пакеты, что приведет к компрометации устройств, использующих вредоносный программный модуль. Так, в начале июля злоумышленник разместил на одном из форумов сообщение о продаже эксплойта для уязвимости в менеджере пакетов npm. Согласно сообщению, компрометация уязвимости дает злоумышленнику несколько возможностей ее использования. Например, она может быть нацелена на кражу аккаунтов npm организаций или разработчиков, что в дальнейшем позволит внедрить бэкдоры в распространяемое ПО.
Социальная инженерия – нет предела совершенству
Социальная инженерия остается одним из основных методов атаки на организации: этот метод использовался в каждой второй успешной атаке на организации (51%). В атаках на частные лица социальная инженерия остается наиболее популярным методом с долей атак 92%. Чаще всего злоумышленники использовали электронные письма в атаках на организации (83%) и фишинговые сайты при атаках на частных лиц (62%). При этом злоумышленники меняют свой подход — используют новые средства для проведения фишинговых атак для кражи учетных данных, переходят на другие типы файлов.
«На связи сотрудник IT-отдела»
Согласно исследованию Rapid7, субъекты угроз начали использовать новый прием социальной инженерии. Его суть заключается в следующем: злоумышленники забивают электронную почту жертвы спамом, затем следует звонок пользователю якобы от лица сотрудника IT-отдела организации с предложением помощи. Они просят жертву запустить средство удаленного управления (например, AnyDesk или Quick Assist — встроенная в Windows утилита удаленного мониторинга). Как только устанавливается удаленное подключение, преступники переходят к загрузке вредоносных программ для сбора учетных данных и установки долгосрочного доступа к скомпрометированной системе. В одной из атак исследователи наблюдали размещение маяков Cobalt Strike. Хотя в Rapid7 не зафиксировали внедрение программ-вымогателей ни в одном из случаев, обнаруженные признаки компрометации ранее были связаны с операторами-вымогателями Black Basta.
Доверьтесь, мы общались ранее
В мае специалисты департамента исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies (PT Expert Security Center) наблюдали очередную фишинговую рассылку финансово мотивированной группировки Hive0117. Одно из фишинговых сообщений было отправлено на имя сотрудника холдинговой компании. К письму был приложен защищенный паролем архив, который содержит исполняемый файл, представляющий собой бэкдор DarkWatchman. Интересен подход к написанию письма, который сильно отличается от обычных рассылок. Само письмо является ответом на некоторое ранее отправленное письмо, чтобы вызвать доверие получателя. Срочность сообщения не обозначается явно, а подразумевается — сейчас якобы проходит налоговая проверка. Под этим предлогом письмо просят перенаправить далее бухгалтеру. Это также является интересным моментом: сообщение, полученное от коллеги, как правило, вызывает больше доверия, чем письмо от внешнего отправителя.
Также в июне команда PT Expert Security Center фиксировала фишинговые рассылки в один из банков. К письму прилагался архив, содержащий исполняемый файл, открытие которого приводило к развертыванию Agent Tesla. Интересно, что письмо действительно было отправлено с легитимного почтового адреса, что говорит о его компрометации ранее.
Еще одна фишинговая рассылка была направлена на коммерческие организации. На протяжении июня эксперты PT Expert Security Center фиксировали рассылки с легитимных почтовых адресов. Само письмо стандартное (ссылка на акт сверки и претензию), но интересен способ доставки: в письмо вставлена ссылка на внешний ресурс (GitHub), из которого пользователь сам должен скачать и запустить вредоносную нагрузку.
Эволюция квишинга
Квишинг (Quishing) — разновидность фишинга, осуществляемая при помощи QR-кодов. При сканировании такого QR пользователи перенаправляются на вредоносный веб-сайт, который либо содержит ссылки на скачивание вредоносного ПО на устройства пользователей, либо запрашивает номера кредитных карт или учетные данные якобы для входа в систему. Еще в I квартале 2023 года мы отмечали тенденцию на использование злоумышленниками квишинга. В июне исследователи кибербезопасности Cyble сообщили, что злоумышленники активно использовали документы Word со встроенными QR-кодами в фишинговых атаках.
Об этом сообщают и другие исследователи. Например, эксперты Check Point в июне сообщили о росте числа использования квишинга, а также о новом способе эксплуатации этого метода.
Исследователи обнаружили новую кампанию, в которой QR-код представлен не в виде изображения, а создан с помощью символов HTML и ASCII. Злоумышленники внедряют, по сути, блоки в HTML, и в электронном письме это будет выглядеть как QR-код. Как и во многих фишинговых атаках с использованием QR-кодов, электронное письмо связано с запросом повторной аутентификации. А поскольку за QR-кодом стоят символы ASCII, это может привести к тому, что системы безопасности не сочтут его злонамеренным.
Рычаги давления операторов шифровальщиков: шантаж с GDPR и звонки с угрозами
В мае аукционный дом Christie's подтвердил киберинцидент, после того как банда вымогателей RansomHub взяла на себя ответственность за атаку. Группа вымогателей добавила Christie’s на свой сайт, говоря, что украли конфиденциальные данные клиентов (около полумиллиона человек): полные имена, данные о физических адресах, удостоверяющие личность документы.
Интересным здесь является тот факт, что банда вымогателей пригрозила аукционному дому сообщить об утечке регулятору, что, в свою очередь, повлечет за собой крупные штрафы по GDPR (General Data Protection Regulation — Регламент Евросоюза о персональных данных). Поскольку в случае нарушения GDPR компании необходимо выплатить штраф в размере 20 000 000 €, или 4% от годового оборота, такие суммы могут быть критичны для организации. Злоумышленники понимают, какие издержки для компании связаны с несоблюдением GDPR. Назначая цену за выкуп данных меньше, чем предполагаемый штраф, банды вымогателей стимулируют организации платить деньги преступникам.
Еще один интересный случай выявили исследователи кибербезопасности Halcyon AI. По их данным, появилась новая группа вымогателей под названием Volcano Demon. Группировка уже успешно атаковала несколько компаний и развернула программу-вымогатель LukaLocker. Примечательно, что злоумышленники отклонились от стандартного плана действий шифровальщиков. Вместо сайтов утечки данных они прибегают к частым звонкам с угрозами, что усиливает давление на жертв.
Игроки под прицелом злоумышленников
В мире киберпреступности появился новый стилер, нацеленный на игровое сообщество. Исследователи в области безопасности из G DATA проанализировали Sharp Stealer — это ВПО нацелено на различную системную информацию, кражу cookie-файлов для входа на сайты, паролей, данных карт из браузеров, криптокошельков, игровых учетных записей Epic Games, Steam, Roblox, Ubisoft, VimeWorld, Minecraft. Об этом новом семействе вредоносных программ, включая Sharpil RAT и Sharp Stealer, сообщил исследователь угроз Йогеш Лондхе в одной из социальных сетей.
Особого внимания заслуживает выбор игровых платформ и связанного с ними программного обеспечения. Игровые аккаунты часто представляют значительную ценность в виде как внутриигровых предметов, так и связанных с ними персональных данных. Продажа скомпрометированных игровых аккаунтов является прибыльным рынком в киберпреступных кругах, что делает их главной мишенью для стилеров, таких как Sharp Stealer.
Играйте честно
Согласно исследованию McAfee, появилось новое вредоносное ПО, схожее с Redline Stealer2. Вредонос выдает себя за демоверсии инструментов под названием Cheat Lab и Cheater Pro (программы предлагают в помощь игрокам способы мошенничества в различных играх, например возможность открывать новое оружие или уровни, которые в случае честной игры были бы недоступны) и использует URL-адреса, связанные с репозиторием Microsoft на GitHub. Интересным здесь является то, какая приманка используется для дальнейшего распространения ВПО: пользователям предлагают заполучить бесплатную версию программы, если они убедят своих друзей установить зараженную демоверсию.
Такая атака показывает, что даже установка программ из, казалось бы, надежных источников может привести к заражению системы различными ВПО.
Интерес к инструментам ИИ растет
В I квартале 2024 года мы отмечали увеличение использования злоумышленниками троянов для удаленного управления. Теперь же злоумышленники используют такое ВПО с прицелом на исследования в сфере технологий искусственного интеллекта. Исследователи кибербезопасности Proofpoint обнаружили в мае новую операцию, направленную на исследовательские организации в области искусственного интеллекта. Злоумышленники использовали ВПО для удаленного управления SugarGh0st с целью получения непубличной информации, связанной с генеративным искусственном интеллектом. Распространялся же троян с помощью фишинговых писем.
Согласно исследованию, кампания была нацелена менее чем на десять человек, причем все они имеют прямое отношение к одной ведущей американской организации в сфере искусственного интеллекта, что говорит о целенаправленности атаки и заинтересованности злоумышленников в сфере ИИ.
ВПО с модулем ИИ
Злоумышленники не стоят на месте и постоянно совершенствуют ВПО. Так, центр анализа безопасности AhnLab (ASEC) раскрыл новую функцию во вредоносной программе ViperSoftX (разновидность вредоносного ПО, которое может контролировать зараженные системы и красть информацию). Злоумышленники интегрировали в это ВПО Tesseract — механизм распознавания текста OCR (Optical character recognition) на базе открытого исходного кода, что знаменует скачок в методологии проведения атак. OCR использует нейронные сети для поиска и распознавания текста на изображениях. Благодаря такому нововведению ViperSoftX может извлекать текст из изображений и сканировать строки на наличие фраз, связанных с учетными данными, в том числе для входа в криптовалютные кошельки.
Кража биометрии для создания дипфейков
В феврале эксперты по кибербезопасности выпустили исследование о вредоносном ПО GoldPickaxe, нацеленном на устройства Android и IOS. GoldPickaxe способен собирать биометрические данные жертв, а также другие конфиденциальные данные (документы, удостоверяющие личность, перехват SMS). Получив доступ к сканам лиц, злоумышленники использовали технологии ИИ для создания реалистичных цифровых моделей, что в совокупности с документами, удостоверяющими личность, и возможностью перехвата SMS давало злоумышленникам возможность получать доступ к банковскому счету жертв.
Распространение скиммеров для кражи данных банковских карт
По итогам II квартала мы отмечаем увеличение с 13% до 22% доли данных платежных карт среди украденных данных в атаках на частных лиц. Мы связываем это с массовым распространением типов ВПО, способных красть данные платежных карт (шпионское ПО и RAT), а также с несколькими кампаниями, в которых использовались веб-скиммеры.
Например, специалисты Sucuri выявили новый веб-скиммер под названием Caesar Cipher, нацеленный на такие системы управления контентом (CMS), как WordPress, Magento, OpenCart. Вредоносное ПО внедрялось в PHP-файл оформления заказа в плагине WooCommerce (плагин для электронной коммерции с открытым исходным кодом для WordPress).
Еще один способ кражи данных платежных карт связан с плагином pkfacebook, созданным для платформы электронной коммерции PrestaShop. Злоумышленники использовали в атаках уязвимость CVE-2024-36680 для развертывания скиммера карт на сайтах. Уязвимость имеет высокий уровень опасности (7,5 по шкале CVSS) и представляет собой внедрение SQL-кода. Исследователи безопасности Friends-of-Presta опубликовали эксплойт для CVE-2024-36680 и предупредили об активном использовании в атаках для развертывания скиммера с целью массовой кражи кредитных карт.
Эволюция ВПО
Устройства Android под угрозой
В конце июня исследователи сообщили о новом векторе атаки на приложения Android, который злоупотребляет функцией безопасности для обхода средств защиты. Так, эксперты по безопасности мобильных приложений Promon исследовали новое вредоносное ПО под названием Snowblind, использующее функцию безопасности Linux под названием seccomp. Функция seccomp позволяет системе Android изолировать приложения и ограничивать системные вызовы, которые они выполняют. Задачей Snowblind является переупаковка целевого приложения таким образом, чтобы оно не могло обнаруживать злоупотребление службами специальных возможностей, которые позволяют зловреду получать вводимые пользователем данные (например, учетные) или получать доступ к удаленному управлению для выполнения вредоносных действий. Пока неизвестно, сколько приложений было атаковано на самом деле, но существует большая вероятность того, что другие злоумышленники также подхватят этот метод. Специалисты BleepingComputer обратились в Google с просьбой прокомментировать активное злоупотребление seccomp, и по заявлениям утверждается, что в Google Play не обнаружено приложений, которые содержат вредоносный код, схожий с Snowblind.
Важное обновление: RAT обходит рубеж защиты
Тревожным звонком для безопасности мобильных устройств Android стал выход новой версии вредоносной программы CraxsRAT. В мае ВПО получило возможность обхода Google Play Protect — это приложение проверяет устройство на наличие вредоносных приложений, в том числе и установленных из сторонних источников. Согласно сообщению, новая версия CraxsRAT поддерживает несколько языков и такие функции, как внедрение вредоносной нагрузки в APK-файлы.
На вооружении другой тип файлов и незакрытая уязвимость
Злоумышленники всегда пытаются найти новые методы заражения для получения доступа к системам и обхода средств защиты. Киберпреступники перешли на тип файлов Windows MSC. MSC-файлы используются в консоли MMC (Microsoft Management Console) для настройки различных компонентов операционной системы или создания пользовательских представлений часто используемых инструментов. Так, команда Elastic выявила новый метод распространения таких файлов в сочетании с эксплуатацией старой неисправленной уязвимости XSS в Windows для развертывания Cobalt Strike. Исследователи также смогли идентифицировать недавно загруженный образец (6 июня 2024 года) на VirusTotal, что доказывает его активное использование в атаках. Важным является то, что на момент написания статьи Elastic Security ни один антивирус не пометил файл как вредоносный. На момент написания данного исследования половина антивирусных движков, используемых на ресурсе (31 из 63), пометила файл как вредоносный.
Конечно, и хорошо известные злоумышленники прибегают к использованию файлов MSC. Например, группировка Kimsuky использовала поддельные аккаунты в одной из социальных сетей для распространения вредоносных ссылок на OneDrive, которые доставляли вредоносные файлы MSC. Также исследователи кибербезопасности NTT обнаружили использование MSC-файлов в атаках группировки DarkPeony. Цепочка атак начинается с заражения вредоносным MSC-файлом для дальнейшей доставки ВПО для удаленного управления PlugX.
Бескрылый пегас
В предыдущем квартале мы писали о неоднозначных ситуациях в мире темного интернета (большая афера группы Mogilevich, обман аффилированных лиц группировкой BlackCat). Так, во II квартале исследователи CloudSEC выявили тенденцию широкого злоупотребления шпионским ПО Pegasus3. Анализ показал, что злоумышленники предлагали программу за сотни тысяч долларов, однако оказалось, что почти все образцы были мошенническими и неэффективными. Злоумышленники создавали свои собственные инструменты и скрипты, распространяя их под именем Pegasus, чтобы извлечь финансовую выгоду из-за большой известности вредоноса. Например, в одном из сообщений постоянный доступ продавался за 1,5 миллиона долларов. Также было замечено общедоступное распространение Pegasus.
Актуальные уязвимости
Эксплуатация уязвимостей остается одним из лидирующих методов успешных атак на организации — доля его использования составила 35%. Отметим заметные уязвимости, ставшие актуальными для II квартала:
Последствия атак
Успешные атаки злоумышленников во II квартале приводили к разнообразным последствиям. Как и в прошлом квартале, самым распространенным последствием стала утечка конфиденциальной информации (55% для организаций и 82% для частных лиц). У организаций второе место занимает нарушение основной деятельности (27%), однако его доля снизилась на 6 процентных пунктов в сравнении с первым кварталом в связи с уклоном злоумышленников в сторону кражи конфиденциальной информации. Один из наиболее серьезных инцидентов с утечкой данных связан с компанией Snowflake. Множество клиентов Snowflake начали подтверждать утечки данных. Cогласно отчету Mandiant, злоумышленники использовали украденные учетные данные клиентов для захвата учетных записей, не защищенных многофакторной аутентификацией. В ходе расследований, связанных со Snowflake, Mandiant заметил, что в некоторых случаях злоумышленники получили первоначальный доступ через подрядчиков. Однако, по словам одного из злоумышленников, доступ к учетным записям Snowflake был получен через заражение компьютера сотрудника EPAM Systems с помощью вредоносного ПО.
Само же корпоративное окружение Snowflake не было взломано. Mandiant и Snowflake уведомили примерно 165 потенциально уязвимых организаций об инциденте. В число компаний, подтверждающих утечку данных, входят Ticketmaster, Santander Bank, Advance Auto Parts, Pure Storage, Los Angeles Unified, Neiman Marcus, AT & T.
Cписок атак II квартала, которые повлекли за собой негативные последствия и вызвали большой резонанс:
В атаках с утечками конфиденциальной информации злоумышленники чаще ориентировались на похищение коммерческой тайны (26%), персональных (25%) и учетных данных (23%) у организаций. В атаках на частных лиц злоумышленники в большей степени были нацелены на кражу учетных данных (37%) и данных платежных карт (22%).
Помимо утечек, связанных со Snowflake, мы отмечаем и другие крупные утечки данных:
Об исследовании
Данный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies (PT Expert Security Center), результатах расследований, а также на данных авторитетных источников.
По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.
В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная атака, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.