Компания BI.ZONE объявила об обнаружении фишинговых атак на предприятия оборонно-промышленного комплекса и объекты критической инфраструктуры с целью внедрения в их ИТ-инфраструктуру. По данным аналитиков компании группировка Core Werewolf применяет фишинг и легитимное ПО, чтобы получить полный контроль над системой пользователя, копировать файлы с устройства и отслеживать его действия. Эксперты киберразведки BI.ZONE проанализировали документы, которые преступники использовали для отвлечения внимания жертв, и выяснили: основными целями шпионов стали российские организации, связанные с оборонно-промышленным комплексом и критической инфраструктурой. Группировка начала свою деятельность не позже августа 2021 года и продолжает атаки до сих пор.
Легальные способы фишинга
Сегодня у многих киберпреступников и АРТ-группировок стало модным использование легитимных средств для того, чтобы дольше оставаться незамеченными. Дело в том, что системы удаленного доступа сейчас используют практически все компании и их уже нельзя считать даже ПО двойного назначения, поэтому антивирусное ПО и системы защиты практически не обращают внимание на их функционирование. Этим и пользуются злоумышленники, чтобы длительное время присутствовать в инфраструктуре интересующей их организации, не вызывая срабатывания средств защиты. Группировка Core Werewolf пошла именно по этому пути.
Для проникновения в учреждения атакующие использовали фишинговые письма со ссылками на опасные файлы, которые были замаскированы под документы форматов docx и pdf: постановления и приказы, методические пособия, служебные записки и резюме. При открытии такого файла пользователь видел заявленный документ, в то время как на его устройство в фоновом режиме устанавливалась программа UltraVNC. Это легитимное ПО, которое часто используют для удаленного подключения к компьютеру. Атакующие же таким образом получали доступ к скомпрометированному устройству.
«Сегодня APT-группировки все чаще отказываются от вредоносного ПО в пользу легитимных или встроенных в операционную систему инструментов, — пояснил ситуацию с вредоносным ПО руководитель управления киберразведки BI.ZONE Олег Скулкин. — Пример Core Werewolf в очередной раз доказывает эффективность таких методов в управляемых человеком атаках».
Рекомендации специалистов
Чтобы снизить риски подобных атак, необходимо анализировать действия пользователей и выявлять аномалии в их поведении. Эксперты BI.ZONE рекомендуют защищать электронную почту специализированными решениями, которые анализируют передаваемые ссылки с помощью технологии песочницы. Такие технологии позволяют выявить попытки исполнения вредоносного кода на стороне компьютеров сотрудников. Дополнительной мерой является использование антивирусов с защитой от макровирусов и анализом получаемых по сети файлов в устаревших форматах docx и pdf. Также стоит настроить систему инвентаризации программного обеспечения, установленного внутри корпоративного периметра, и удалять все потенциально опасные программы — особенно подозрительно нужно относиться к различным утилитам дистанционного управления или удаленного доступа. Кроме того, необходимо наладить мониторинг событий кибербезопасности, чтобы выявлять аномальное поведение легальных программ и пользователей.
