Злоумышленники пользуются правами отпускников

Яков Шпунт 23 Августа 2024 - 18:39

Малый и средний бизнес

...

В сезон отпусков у киберпреступников появляются новые приемы, чтобы воспользоваться ситуацией и атаковать компанию, предупреждает ГК «Солар».

На время отпуска часть полномочий одного сотрудника передается другому. Это может касаться доступа в систему, возможности вносить в нее изменения, принятия решений.

Часто способы, которыми это осуществляется, далеки от лучших практик: сотрудники просто передают друг другу данные учетной записи, создаются «общие» пользовательские аккаунты с широким кругом полномочий или замещающему сотруднику дают дополнительные права, которые потом забывают отозвать.

Но избыточные привилегии — это повышенные риски в случае компрометации учетной записи. В начале года специалисты центра противодействия кибератакам Solar JSOC наблюдали аномальный рост таких инцидентов: 14% приходилось на несанкционированный доступ к информационным системам и сервисам, еще 6% — на компрометацию учетных записей. К концу полугодия в ГК «Солар» увидели тенденцию на наведение порядка в политиках и принципах управлений доступом. Автоматизировать этот процесс помогают системы контроля управления доступом.

Киберпреступники умело манипулируют эмоциями, вынуждая совершать ошибки из страха, под давлением авторитета или поддавшись спешке. Одна из популярных в последнее время фишинговых схем — письмо или сообщение от лица высшего руководства компании, в котором жертву либо предупреждают о скором звонке из органов власти, либо пугают уголовным разбирательством. Все чаще в таких схемах используются технологии дипфейка, когда с помощью нейросетей генерируются сообщения, которые произносятся голосом руководителя.

О том, что сотрудник компании находится в отпуске, мошенники могут узнать из соцсетей. А это значит, что можно воспользоваться ситуацией, надавив на два рычага: ограниченную коммуникацию с остальной командой и срочность. Злоумышленники, пользуясь этим, выманивают у сотрудников в отпуске пароли для входа в систему или вынуждают перевести злоумышленникам деньги под видом оплаты срочного заказа.

Сотрудники должны быть в курсе распространенных мошеннических схем и уметь распознавать подозрительные письма и сообщения. Потенциально небезопасные практики не должны быть в компании в порядке вещей, даже если они ускоряют процессы.

Также важно отслеживать любые отклонения от нормального поведения: активность в нерабочие часы или во время отпуска, резко возросшее число контактов с коллегами, с которыми обычно пользователь не взаимодействует, операции с большим объемом информации (перемещение, копирование, удаление файлов). С этим помогут справиться DLP-системы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 21 Ноября 2025 - 12:53

Windows Ботнет Домашние пользователи Корпорации Лаборатория Касперского

Новый Windows-ботнет Tsundere маскируется под установщики популярных игр

Эксперты Kaspersky GReAT сообщили о новом ботнете под названием Tsundere. Злоумышленники заражают устройства на Windows с помощью PowerShell-скриптов или MSI-установщиков, маскируя вредоносный имплант под установщики популярных игр: Valorant, CS2 и Rainbow Six.

По данным «Лаборатории Касперского», атаки уже зафиксированы в Мексике и Чили.

Согласно анализу, авторы ботнета пытаются избегать заражения систем в странах СНГ, однако детекты всё же были обнаружены в России и Казахстане. Специалисты отмечают, что ботнет активно растёт и представляет серьёзную угрозу.

Одной из ключевых особенностей Tsundere стало использование Web3-смарт-контрактов для размещения адресов командных серверов. Такой подход делает инфраструктуру более устойчивой: переключать C2-серверы можно через блокчейн Ethereum.

Анализ панели управления показал, что ботнет распространяет импланты двумя способами:

через MSI-файлы;
через PowerShell-скрипты.

После установки на устройство загружается бот, который способен непрерывно выполнять JavaScript-код. Для связи с командным сервером используется WebSocket.

Кроме того, у Tsundere есть собственная панель управления и торговая площадка — единый интерфейс для операторов ботнета.

Исследователи считают, что разработчики Tsundere с высокой вероятностью русскоязычные: на это указывают фрагменты кода. Также обнаружена связь ботнета со стилером 123 Stealer, который распространяется на форумах дарквеба.

По словам Дмитрия Галова, руководителя Kaspersky GReAT в России, злоумышленники быстро адаптируют инструменты и уже несколько раз меняли архитектуру ботнета:

«Переход на Web3 сделал инфраструктуру более гибкой, а импланты продолжают распространяться под видом установщиков игр. Вероятно, что Tsundere продолжит расширяться».

Индикаторы компрометации:

Хеш-суммы файлов:

235A93C7A4B79135E4D3C220F9313421
 760B026EDFE2546798CDC136D0A33834
 7E70530BE2BFFCFADEC74DE6DC282357
 5CC5381A1B4AC275D221ECC57B85F7C3
 AD885646DAEE05159902F32499713008
 A7ED440BB7114FAD21ABFA2D4E3790A0
 7CF2FD60B6368FBAC5517787AB798EA2
 E64527A9FF2CAF0C2D90E2238262B59A
 31231FD3F3A88A27B37EC9A23E92EBBC
 FFBDE4340FC156089F968A3BD5AA7A57
 E7AF0705BA1EE2B6FBF5E619C3B2747E
 BFD7642671A5788722D74D62D8647DF9
 8D504BA5A434F392CC05EBE0ED42B586
 87CE512032A5D1422399566ECE5E24CF
 B06845C9586DCC27EDBE387EAAE8853F
 DB06453806DACAFDC7135F3B0DEA4A8F

Путь к файлам:

%APPDATA%\Local\NodeJS

Домены и IP-адреса:

ws://185.28.119[.]179:1234
 ws://196.251.72[.]192:1234
 ws://103.246.145[.]201:1234
 ws://193.24.123[.]68:3011
 ws://62.60.226[.]179:3001

Криптовалютные кошельки:

0x73625B6cdFECC81A4899D221C732E1f73e504a32
 0x10ca9bE67D03917e9938a7c28601663B191E4413
 0xEc99D2C797Db6E0eBD664128EfED9265fBE54579
 0xf11Cb0578EA61e2EDB8a4a12c02E3eF26E80fc36
 0xdb8e8B0ef3ea1105A6D84b27Fc0bAA9845C66FD7
 0x10ca9bE67D03917e9938a7c28601663B191E4413
 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84
 0x46b0f9bA6F1fb89eb80347c92c9e91BDF1b9E8CC

Примечание. Эти кошельки изменяли адрес командного сервера в смарт-контракте.