Архив новостей

Тайпсквоттинг как способ перехвата служебной переписки

Специалисты по информационной безопасности из Godai Group LLC обнаружили, что 30% компаний из списка Fortune 500 уязвимы к целевым атакам через электронную почту, использующим близкие по написанию доменные имена.

Злоумышленники регистрируют домены-двойники мишеней в расчете на ошибку пользователей, осуществляющих набор адреса вручную. Как правило, подставные сайты используются ими для фишинга или распространения зловредов. Однако, подняв на таком домене почтовый сервер, тайпсквоттер имеет шанс завладеть конфиденциальной информацией, отосланной сотруднику целевой организации письмом с характерной опечаткой в адресе. Возможны также кибератаки типа man-in-the-mailbox (MitMB), когда злоумышленник контролирует домены-двойники интересующих его получателя и отправителя, отлавливает «заблудившиеся» письма на своем почтовике и использует скрипт для автоматической пересылки этих посланий легальным адресатам, ― дабы те не обнаружили перехват.

Экспериментаторы из Godai Group взяли в качестве объекта одну характерную опечатку ― пропуск символа в доменном имени. Они зарегистрировали домены-двойники компаний из списка Fortune 500, опустив точку между именем узла и доменом (например, uscompany.com вместо исходного us.company.com), и подняли на них почтовые службы. За полгода на этих ловушках скопилось свыше 120 тыс. писем суммарным объемом 20 ГБ. В них оказалась масса любопытной информации: личные данные служащих, персональные идентификаторы, платежная документация, схемы внутренних сетей, ― даже сведения, составляющие коммерческую тайну. (Авторы исследования не преминули подчеркнуть, что по окончании эксперимента вся переписка была уничтожена.)

Исследователи зарегистрировали также слабый трафик на портах 22 (SSH) и 3389 (RDP). Это означает, что при наличии соответствующего подставного сервера злоумышленник может наладить перехват идентификаторов для удаленного администрирования.

По оценке Godai Group, наиболее уязвимы к атакам тайпсквоттеров специализированные сервисы розничной торговли, коммерческие банки, телеоператоры и поставщики продуктов питания [PDF 564 Кб]. Домены-двойники есть у многих поставщиков передовых технологий, таких как Cisco, IBM, Dell, HP, Yahoo, Intel, GM, ITT, Unisys. Эти ловушки зарегистрированы, в основном, в Китае; многие из них уже собирают пользовательскую информацию для фишеров или раздают зловредов.

Во избежание перехвата конфиденциальной информации с помощью тайпсквоттинга исследователи рекомендуют компаниям регистрировать разные варианты доменного имени с учетом возможных опечаток. Если домен-двойник уже куплен другим лицом, можно попробовать оспорить правомерность его регистрации. Нелишне также настроить корпоративные DNS- и почтовые службы на блокировку отправки писем на адреса с такими именами.

Тайпсквоттинг как способ перехвата служебной переписки

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике