Целевая атака начинается с поддельного письма

По данным Trend Micro, 91% целевых кибератак предшествует малотиражная спам-рассылка (эксперты называют такие письма spear-phishing email), как правило, вредоносная. Она использует элементы социальной инженерии и ориентирована на конкретное лицо или группу адресатов в атакуемой организации.

Такой зачин не теряет своей популярности у организаторов целевых атак, так как в тщательно подготовленную ловушку может угодить даже самый искушенный и осмотрительный пользователь. Ярким примером целевой атаки, начавшейся с узконаправленной спам-рассылки, является прошлогодний инцидент, обернувшийся кражей уникальной технологии RSA.

Вредоносные сообщения, открывающие злоумышленникам доступ во внутреннюю сеть организации, персонализируются с помощью данных, предварительно выуженных из интернета. Такие письма зачастую снабжены вложением, маскирующимся под невинный документ – привычный участник обмена в корпорациях и госструктурах. Получателя под тем или иным предлогом провоцируют открыть вложенный файл и загрузить зловреда, который сворует для хозяина ключи от «королевства».

Проанализировав spear-phishing рассылки, проведенные в феврале-сентябре текущего года, Trend Micro обнаружила, что 94% из них используют вредоносные вложения, а остальные снабжены ссылками на зараженные ресурсы и площадки с эксплойтами. Вредоносные ссылки обычно предлагаются представителям активистских и прочих общественных организаций, распыленных по разным странам. Опасные вложения, распространяемые при проведении целевых атак, используют такие форматы, как RTF (38%), XLS (15%), ZIP (13%), RAR (11%), PDF (8%), DOC (7%). Формат EXE редко встречается в целевых атаках, так как исполняемые файлы, присланные аттачем, обычно блокируются на входе в корпоративную сеть.

Основными мишенями целевых спам-рассылок, по данным Trend Micro, являются правительственные организации и активистские группы. Информация о госслужбах и их составе обычно публикуется на общедоступных правительственных сайтах. Активисты развивают бурную деятельность в социальных сетях и охотно предоставляют контактную информацию участникам своих акций и новобранцам. Как оказалось, почти половина адресов получателей spear-phishing посланий, зафиксированных экспертами, легко отыскивается простым обращением к Google. Больше половины тех email, что не попали на страницы выдачи Google, можно было угадать, совместив имя адресата с почтовым доменом его компании, т.е. по образцу имя_получателя@имя_компании.com.