«Лаборатория Касперского» обнаружила целевую атаку на крупные компании в России, целью которой стал шпионаж. Интересным оказался способ проникновения в корпоративную сеть организации — с помощью вредоносного документа об отсрочке от военной службы.
Фальшивая забота
Атакующие осуществляли целенаправленную рассылку электронных писем ключевым сотрудникам компаний, к которым был приложен Word-документ с названием, включающим слова «отсрочка от призыва». Если пользователь открывал файл, то обнаруживал там якобы официальную просьбу сформировать и направить списки специалистов организации для получения отсрочки от службы. Если пользователь открывал документ с помощью программы Word, то в нее подгружался и запускался специальный макрос, который, в свою очередь, скачивал и устанавливал основной вредоносный файл. После успешного проникновения в систему троянец передавал на командный сервер информацию о заражённой системе и затем по команде отправлял запрашиваемые атакующими файлы.
Вредоносы, которые встраивались с помощью макросов в программы Microsoft Office, называются макровирусами и известны уже достаточно давно. Угроза считается не очень опасной, поскольку уже отработаны технологии их обнаружения и блокировки. Этим обычно занимается почтовый сервер с помощью встроенного антивируса. Однако такая защита работает только при массовой рассылке вредоноснов в Word-документах — важно, чтобы антивирусная компания получила экземпляр спам-письма и включила его сигнатуру в свою базу. Но при целенаправленной атаке злоумышленники для каждого отдельного пользователя создают уникальный вредоносный файл, который антивирусом не обнаруживаются. Для защиты от целенаправленной атаки такого типа используются песочницы, однако далеко не в каждой компании они установлены, что и позволяет злоумышленникам надеяться на успех.
«Мы видим, что злоумышленники продолжают активно использовать тему мобилизации не только в массовых, но и в таргетированных атаках, — прокомментировал инциденты эксперт по кибербезопасности «Лаборатории Касперского» Денис Паринов. — Для противодействия подобным многокомпонентным угрозам компаниям необходимо не только внедрять комплексные системы для обеспечения защиты, включая решения класса XDR, но и проводить обучение всех сотрудников правилам кибербезопасности с регулярными проверками».
Рекомендации специалистов
Чтобы предотвратить атаку с помощью макровируса следует блокировать макросы в документах, поступающих из-вне компании, и отказаться от продуктов, которые не поддерживаются производителями на территории России. В частности, пользоваться пакетом Microsoft Office сейчас достаточно рискованно, поскольку он слишком тесно интегрирован с операционной системой Windows. Лучше перейти на отечественные операционные системы и офисные пакеты. Хотя в них также есть макросы, однако они имеют более гибкие настроить политики доступа и контроля запускаемых макросов.
Тем же, кому приходиться пользоваться унаследованными офисными пакетами, рекомендуется использовать комплексные решения для защиты инфраструктуры от кибератак любой сложности класса XDR; проводить обучение сотрудников правилам кибербезопасности; предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах; в дополнение к защите конечных точек использовать комплексное средство обеспечения безопасности корпоративной сети со встроенной песочницей или другой защитой от APT, которое обнаруживает сложные угрозы на ранней стадии. В условиях постоянного прессинга со стороны недружественных кибервойск, стоит использовать все возможности для защиты от целенаправленных атак.
