Архив новостей

Целевая атака начинается с поддельного письма

По данным Trend Micro, 91% целевых кибератак предшествует малотиражная спам-рассылка (эксперты называют такие письма spear-phishing email), как правило, вредоносная. Она использует элементы социальной инженерии и ориентирована на конкретное лицо или группу адресатов в атакуемой организации.

Такой зачин не теряет своей популярности у организаторов целевых атак, так как в тщательно подготовленную ловушку может угодить даже самый искушенный и осмотрительный пользователь. Ярким примером целевой атаки, начавшейся с узконаправленной спам-рассылки, является прошлогодний инцидент, обернувшийся кражей уникальной технологии RSA.

Вредоносные сообщения, открывающие злоумышленникам доступ во внутреннюю сеть организации, персонализируются с помощью данных, предварительно выуженных из интернета. Такие письма зачастую снабжены вложением, маскирующимся под невинный документ – привычный участник обмена в корпорациях и госструктурах. Получателя под тем или иным предлогом провоцируют открыть вложенный файл и загрузить зловреда, который сворует для хозяина ключи от «королевства».

Проанализировав spear-phishing рассылки, проведенные в феврале-сентябре текущего года, Trend Micro обнаружила, что 94% из них используют вредоносные вложения, а остальные снабжены ссылками на зараженные ресурсы и площадки с эксплойтами. Вредоносные ссылки обычно предлагаются представителям активистских и прочих общественных организаций, распыленных по разным странам. Опасные вложения, распространяемые при проведении целевых атак, используют такие форматы, как RTF (38%), XLS (15%), ZIP (13%), RAR (11%), PDF (8%), DOC (7%). Формат EXE редко встречается в целевых атаках, так как исполняемые файлы, присланные аттачем, обычно блокируются на входе в корпоративную сеть.

Основными мишенями целевых спам-рассылок, по данным Trend Micro, являются правительственные организации и активистские группы. Информация о госслужбах и их составе обычно публикуется на общедоступных правительственных сайтах. Активисты развивают бурную деятельность в социальных сетях и охотно предоставляют контактную информацию участникам своих акций и новобранцам. Как оказалось, почти половина адресов получателей spear-phishing посланий, зафиксированных экспертами, легко отыскивается простым обращением к Google. Больше половины тех email, что не попали на страницы выдачи Google, можно было угадать, совместив имя адресата с почтовым доменом его компании, т.е. по образцу имя_получателя@имя_компании.com.

Целевая атака начинается с поддельного письма

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике