SANS раскрыла подробности атаки, выложила индикаторы компрометации (IoC)

SANS раскрыла подробности атаки, выложила индикаторы компрометации (IoC)

SANS раскрыла подробности атаки, выложила индикаторы компрометации (IoC)

Недавно организацию SANS Institute поразила фишинговая атака, в ходе которой киберпреступники смогли получить доступ к ящику электронной почты одного из сотрудников. Теперь SANS раскрыла детали атаки и выложила индикаторы компрометации (IoC).

На прошлой неделе стало известно, что группа киберпреступников смогла ввести в заблуждение служащего SANS, завладела его ящиком электронной почты и перенаправила себе 513 важных писем.

В результате злоумышленникам удалось завладеть в общей сложности 28 тыс. записей персональных данных, принадлежащих сотрудникам SANS.

Сама организация решила раскрыть все подробности взлома, чтобы максимально проинформировать сообщество исследователей в области кибербезопасности. Например, с помощью опубликованных IoC другие компаниями могут убедиться в том, что их не затронули операции киберпреступников.

По словам представителей SANS, атака началась с единственного фишингового письма, замаскированного под уведомление об общем доступе к файлу через SANS SharePoint. Сам файл якобы представлял собой таблицу под именем «Copy of July Bonus 24JUL2020.xls».

В письме также находилась кнопка «Open», которую адресату предлагали нажать, чтобы получить доступ к файлу.

 

После клика по кнопке браузер открывал страницу https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws [.]com/index.html, которая сразу же предлагала пользователю ввести учётные данные от аккаунта Office 365.

При этом на компьютер жертвы устанавливался OAuth-аддон Microsoft Office OAuth под именем «Enable4Excel». После установки вредоносное приложение начинало мониторить электронные письма, пытаясь найти в них определённые ключевые слова.

Если такие слова находились, само письмо тут же отправлялось на специальный адрес — daemon [@] daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com. Список ключевых слов выглядел так:

  • agreement
  • Bank
  • bic
  • capital call
  • cash
  • Contribution
  • dividend
  • fund
  • iban
  • Payment
  • purchase
  • shares
  • swift
  • transfer
  • Wire
  • wiring info

Полные индикаторы компрометацию можно найти на официальном сайте SANS. Эксперты утверждают, что киберпреступники атаковали и другие компании этой же схемой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Дропперские карты пропали с черного рынка

С чёрного рынка практически исчезли так называемые дропперские комплекты — наборы, состоящие из платёжных карт, сим-карт и копий паспортов их владельцев. Это стало результатом мер, принятых регуляторами для противодействия теневым операциям.

Как рассказал «Известиям» основатель сервиса DLBI Ашот Оганесян, в мае предложения подобных комплектов практически исчезли. Обычно такие данные предоставляли сами граждане — либо из корыстных побуждений, либо по незнанию.

При этом спрос со стороны мошенников, использующих такие комплекты для вывода средств, остаётся высоким. Эту информацию подтвердили также представители компаний F6, «Телеком биржа» и Phishman.

Руководитель направления информационной безопасности «Телеком биржи» Александр Блезнеков назвал дефицит дропперских комплектов прямым следствием новых ограничений Банка России. В частности, если человек внесён в специальную базу дропов, сумма переводов с его карт ограничивается 100 тыс. рублей в месяц.

Кроме того, по словам эксперта, внедрены новые механизмы контроля с использованием технологий искусственного интеллекта. В результате дропперская карта может быть заблокирована в течение суток. В некоторых случаях, например, при операциях с небольшими суммами в составе «ферм», срок может быть чуть дольше.

Злоумышленники, в свою очередь, пытаются адаптироваться и продлить срок жизни таких карт. Один из популярных приёмов — так называемый «прогрев»: длительное использование карты для легальных транзакций перед применением в мошеннической схеме.

Тем не менее, как считают эксперты, у преступников ещё остались запасы ранее приобретённых комплектов. Кроме того, чёрный рынок — не единственный источник: платёжные реквизиты могут оформляться и на похищенные персональные данные случайных граждан.

Злоумышленники также активнее используют альтернативные схемы вывода средств. В частности, всё чаще средства обналичиваются через курьеров, либо переводятся на криптовалютные кошельки.

Генеральный директор Phishman Алексей Горелкин считает текущее снижение предложения временным и ожидает, что ситуация начнёт меняться уже в ближайший месяц. Однако, как уточнил Ашот Оганесян, стоимость комплектов вырастет существенно — выше прежнего уровня в 15–20 тыс. рублей.

По мнению Горелкина, новые меры, в том числе ограничение на количество карт, которые можно оформить на одно лицо, а также уголовная ответственность за участие в схемах дропперства, усиливают риски для продавцов. В результате, полагает эксперт, злоумышленники будут чаще использовать криптовалюту как основной инструмент для вывода средств.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru