Поделиться
Positive Technologies обнаружила серию кибератак, направленных на государственные организации России и СНГ
Экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружил новую кибергруппировку — Lazy Koala. По данным специалистов, преступники используют простые, но эффективные техники атак. Жертвами группировки стали организации из России и шести стран СНГ. На сегодняшний день скомпрометировано порядка 867 учетных записей сотрудников.
В рамках исследования угроз специалисты PT ESC обнаружили серию атак, направленных на организации из России, Белоруссии, Казахстана, Узбекистана, Кыргызстана Таджикистана и Армении. Жертвами атак стали государственные и финансовые компании, а также медицинские и образовательные учреждения из перечисленных стран. Специалисты Positive Technologies уже уведомили пострадавших о компрометации. За атаками стоит ранее неизвестная группировка, эксперты назвали ее Lazy Koala из-за ее элементарных техник и имени пользователя Koala, который управлял Telegram-ботами с украденными данными. Связей с уже известными группировками, использующими такие же техники, установить не удалось. По данным исследования, основной целью злоумышленников была кража учетных записей от различных сервисов с компьютеров сотрудников государственных организаций. Эту информацию преступники, вероятно, намерены использовать в дальнейших атаках уже на внутренние структуры компаний. Украденные данные также могут быть проданы на теневом рынке киберуслуг.
«Почерк новой группировки можно описать как «сложно не значит лучше». Lazy Koala не прибегает к изощренному инструментарию, тактикам и техникам, но при этом добивается успеха. Их основное оружие — примитивный стилер, написанный на языке Python (вредоносное ПО для хищения паролей), который, по нашим предположениям, распространяется при помощи старого доброго фишинга. Мошенники убеждают жертву открыть вложение и запустить нужный файл в браузере. Причем для каждой страны вложения подготовлены на национальном языке. Освоившись на зараженном устройстве, ВПО отправляет украденные данные с помощью полюбившегося злоумышленникам мессенджера Telegram, — сказал Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies».
Одним из основных способов проникновения злоумышленника в инфраструктуру по-прежнему является фишинг. Пользователям рекомендуется соблюдать осторожность, не открывать подозрительные письма, не переходить по неизвестным ссылкам, не загружать ПО с непроверенных сайтов и торрент-площадок, пользоваться лицензионными версиями из доверенных источников. Организациям следует информировать сотрудников о различных видах фишинга и новых схемах мошенничества.
Обнаружить подобные атаки можно с помощью специализированных средств защиты, а для анализа атак и их предотвращения необходимо привлекать профессионалов в расследовании киберинцидентов.
Так, система MaxPatrol SIEM может обнаружить не только ключевое событие — кражу данных — с помощью правила Credential_Access_to_Passwords_Storage, но и предшествующие этапы — фишинг и передачу данных — с помощью правил Run_Masquerading_Executable_File и Suspicious_Connection. Также можно выявить подобные атаки с помощью систем для защиты конечных точек, таких как MaxPatrol EDR. Система поведенческого анализа сетевого трафика PT NAD обнаруживает обращения к Telegram API. Для этого используется фильтр tls.server_name == "api.telegram.org", по которому также можно удобно настроить уведомления. В случае если новый узел будет обращаться к Telegram API, PT NAD отправит соответствующее уведомление оператору SOC. Песочница PT Sandbox детектирует действия группировки за счет правила, написанного под эту APT-группировку (вердикт поведенческого анализа — Trojan-PSW.Win32.LazyStealer.n).
Короткая ссылка
