Киберпреступники переходят к персонализированным атакам

 В сложной, непрерывно меняющейся среде онлайновых преступлений происходит стратегический сдвиг. Киберпреступники отказываются от традиционных методов массовой рассылки спама и переходят к персонализированным атакам. Главная цель этих атак – кража интеллектуальной собственности. Ежегодно такие атаки, организуемые с учетом особенностей того или иного объекта и содержащие вредоносные программные коды, нацеленные на конкретную группу пользователей и даже на отдельного пользователя, наносят ущерб в 1,29 млрд долларов США. Об этом говорится в новом отчете компании Cisco по вопросам информационной безопасности. Отчет составлен по результатам глобального исследования, проведенного подразделением Cisco@Security Intelligence Operations в 50 странах.



 С июня 2010 года по июнь 2011 года выручка от массовой рассылки спама сократилась с 1,1 млрд долларов до 500 млн долларов США. За тот же период произошло резкое падение объемов спама – с 300 млрд до 40 млрд сообщений в день. Зато число целевых фишинг-атак увеличилось втрое, а персонализированных жульнических и злоумышленных действий - вчетверо, передает cybersecurity

Успех целевых атак, как и других киберпреступлений, строится на технических уязвимостях и людской доверчивости. Против таких атак труднее всего защищаться, тогда как они могут нанести значительный ущерб. Минимальные по своему объему, эти атаки направлены на конкретного пользователя или пользовательскую группу, сохраняя анонимность и применяя специализированные каналы распространения ботнетов. Как правило, они стремятся установить у пользователя вредоносный код или устойчивое вредоносное решение для сбора данных в течение определенного времени. Одним из примеров целенаправленной атаки стал печально известный «червь» Stuxnet, способный серьезно нарушить работоспособность промышленных вычислительных систем. Этот «червь» распространяется даже через несетевые среды, поражая системы, не подключенные к Интернету и другим сетям.

Целевой фишинг стоит дороже массовой рассылки спама, хотя создает меньший объем трафика. Тем не менее такая атака может привести к весьма печальным последствиям для современного предприятия. Фишинг приводит к краже финансовых средств, и это делает данный вид криминальной деятельности особо опасным для жертв и привлекательным для киберпреступников. Широкомасштабная фишинг-кампания с использованием целенаправленных методов может принести преступнику в 10 раз больше "дохода", чем традиционный фишинг, основанный на массовых рассылках.

"Персонализированные целенаправленные атаки, проводимые для получения доступа к корпоративным банковским счетам и ценной интеллектуальной собственности, встречаются все чаще, - утверждает Ник Эдвардс, директор отдела технологий информационной безопасности компании Cisco. - Действия правоохранительных органов сделали массовую рассылку спама менее привлекательной для киберпреступников, и они стали уделять больше времени и усилий разным видам целевого фишинга и другим целенаправленным атакам".

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Шпионы Shedding Zmiy проникли в десятки российских организаций

По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году. На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности.

Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram.

Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику. Кибершпионы также подняли множество C2-серверов на территории России, воспользовавшись услугами облачных и хостинг-провайдеров, что помогает им обходить блокировки по GeoIP.

В атаках применяются и выложенные в паблик зловреды, и спецразработки под конкретные цели (загрузчики, бэкдоры, веб-шеллы). Для хранения вредоносного кода иногда используются взломанные серверы.

В арсенале Shedding Zmiy исследователи суммарно насчитали 35 инструментов разного назначения и 20 используемых уязвимостей — в основном хорошо известных, таких как Log4Shell, ProxyShell и PrintNightmare .

Один эксплойт оказался редким и замысловатым. Соответствующую уязвимость в ASP.NET (десериализация ненадежных данных в параметре VIEWSTATE) разработчики Microsoft пытались устранить еще десять лет назад, но затем оставили эту затею — в «Солар» полагают, из-за сложности использования лазейки.

«В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО, в частности, бэкдор Bulldog и загрузчик XDHijack, — отметил эксперт из команды Solar 4RAYS Антон Каргин. — Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах».

Участники Shedding Zmiy также активно используют элементы социальной инженерии. Так, в ходе одной из атак они создали в Telegram поддельный аккаунт ИБ-специалиста целевой компании и от его имени выманили у сотрудника учетные данные для доступа к внутренних хостам.

В другом случае злоумышленники сыграли на доверии между компаниями-партнерами (атака типа Trusted Relationship): взломав сеть телеком-провайдера, разослали от его имени десятки вредоносных писем в другие организации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru