Positive Technologies: российские компании ТЭК и СМИ атакует хакерская группировка
Специалисты PT Expert Security Center компании Positive Technologies в ходе ежедневного мониторинга угроз в апреле 2022 года выявили атаку на ряд российских организаций (СМИ и энергетические компании) с использованием вредоносного документа, сообщает PT.
Анализ вредоносного ПО (ВПО), использованного злоумышленниками, показал, что за этими атаками стоит группировка APT31. В обеих кампаниях зафиксированы идентичные фрагменты кода, получающего информацию о сетевых адаптерах и собирающего данные о заражённой системе.
Исследование инструментов хакеров, показало, что они использовали сервис «Яндекс.Диск» в качестве сервера для связи с подконтрольными системами в сети жертвы. APT31 задействовала популярный облачный сервис в том числе для того, чтобы трафик был похож на легитимный. Ранее эта группировка аналогичным образом использовала сервис Dropbox, говорится в сообщении.
Экземпляры изученного ВПО датируются периодом с ноября 2021 года по июнь 2022-го. Все они содержат легитимные файлы, основная задача которых — передача управления вредоносной библиотеке. Значительная часть выявленных легитимных исполняемых файлов является каким-либо компонентом «Яндекс.Браузера» и подписана действительной цифровой подписью.
В ходе анализа выявлено две новых разновидности ВПО, которые назвали YaRAT и Stealer0x3401. В случае YaRAT в качестве легитимного файла использовался инсталлятор «Яндекс.Браузера», подписанный действительной цифровой подписью «Яндекса» (либо его portable-версия). Во вредоносном ПО Stealer0x3401 применялся легитимный бинарный файл, подгружающий вредоносную библиотеку.
В компании напоминают, что в 2021 году деятельность APT31 была отмечена в Монголии, России, США и других странах.
Вредоносное ПО, использующее в качестве контрольного сервера «Яндекс.Диск», крайне сложно детектировать по сетевому взаимодействию: фактически это обычный легитимный трафик между клиентом и сервисом. Такие зловреды можно обнаружить лишь в динамике при помощи средств мониторинга, в том числе и антивирусными технологиями.
Поэтому в Positive Technologies рекомендуют работать превентивно — рассказывать сотрудникам о мерах цифровой гигиены и об используемых злоумышленниками фишинговых техниках. Кроме того, в компании желательно иметь отдельный адрес, куда сотрудники смогут присылать образцы полученных подозрительных писем и сообщать о них специалистам по ИБ. И, конечно же, нужно использовать антивирусные продукты, «песочницы» и системы класса EDR/XDR для обнаружения угроз и реагирования на них.