Более 90% APT-атак начинаются с отправки сообщений направленного фишинга

Александр Панасенко 30 Ноября 2012 - 17:13

...

Компания Trend Micro, представляет результаты нового исследования направленных атак, материал для которого собирался в период с февраля по сентябрь нынешнего года. Согласно его результатам, в 91% случаев направленные атаки начинаются с рассылки сообщений «направленного фишинга».

Эти результаты подтверждают сделанный ранее вывод о том, что направленные атаки зачастую начинаются с «мелочи», например, сообщения электронной почты, призванного убедить получателя открыть вредоносный файл во вложении или перейти по ссылке, ведущей на сайт с вредоносным ПО или эксплойтом. Направленный фишинг (от англ. “spear fishing” — охота на крупную рыбу с гарпуном) — это новая разновидность фишинговых атак, отличительная особенность которой — использование злоумышленником информации о предполагаемой жертве, чтобы сделать сообщение более «индивидуальным» и лучше замаскировать свои намерения. Например, подобные сообщения могут содержать обращение к адресату по его имени, должности и званию вместо стандартных «обезличенных» заголовков вроде «Доброго времени суток!» или «Уважаемые господа!».

Согласно выводам отчета «Направленный фишинг — самая распространенная прелюдия к APT-атаке» (Spear Phishing Email: Most Favored APT Attack Bait), 94% подобных сообщений в качестве «полезной нагрузки» имеют вложение с вредоносным файлом, который и представляет собой источник заражения. В оставшихся 6% случаев злоумышленники используют альтернативные методы, например, убеждают пользователя перейти по опасной ссылке или загрузить файлы, содержащие вредоносный код. Причина такого неравного соотношения очевидна: сотрудники крупных компаний или госучреждений обычно обмениваются файлами (например, отчетами, бизнес-документами или резюме) по электронной почте, поскольку загрузка материалов напрямую из Интернета считается небезопасной практикой.

Ключевые выводы исследования:

70% вложений в сообщения направленного фишинга, проанализированные в течение периода исследования, представляли собой файлы наиболее распространенных форматов. Наиболее часто используемыми типами файлов были .RTF (38%), .XLS (15%) и .ZIP (13%). Исполняемые файлы (.EXE) не особенно популярны среды киберпреступников, главным образом потому что сообщения с вложенными файлами .EXE, как правило, легко определяются и блокируются средствами ИТ-защиты.
Наиболее частыми жертвами направленного фишинга стали госучреждения и общественные организации. Публичные государственные веб-сайты довольно часто содержат открытую информацию о госучреждениях и должностных лицах. Общественные организации, активно действующие в социальных сетях, также охотно делятся информацией о своих участниках, так как это упрощает общение, организацию мероприятий и рекрутинг новых членов. Многие участники общественных организаций имеют открытые профили в сети, что делает их более легкой мишенью для злоумышленников.
Как следствие, в 75% случаев электронные адреса потенциальных жертв можно легко найти простым поиском в Интернете или «подобрать», используя стандартную модель формирования адреса.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: