Специалисты Solar JSOC выявили новую хакерскую группировку

A A= A+ 14.08.2020 Новости БД

Специалисты центра мониторинга и реагирования на #киберугрозы Solar JSOC выявили новую #киберпреступную группировку. Она использует сложную схему атаки и уникальное вредоносное ПО, не известное ранее. Новая группировка получила название #TinyScouts – по сочетанию наименования главных функций в коде. На данный момент эксперты фиксируют атаки на банки и энергетические компании.

 

На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых получателя предупреждают о начале второй волны пандемии коронавируса и для получения дополнительной информации предлагают пройти по ссылке. Встречаются также варианты фишинговых писем, имеющий четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит вполне убедительно, однако также содержит вредоносную ссылку.

 

Кликнув по ней, жертва запускает загрузку основного компонента вредоносного ПО, которая происходит в несколько итераций. На этом этапе злоумышленники действуют максимально медленно и осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников.

 

На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает ее злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль – «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифрование. В ходе атаки используется и легитимное ПО, в частности, принадлежащее компании Nirsoft. Перед тем, как данные на компьютере будут зашифрованы, оно собирает пароли пользователя из браузеров и почтовых клиентов, не оставляя заметных следов активности, поскольку не требует установки и не формирует записей в реестре ОС.

 

Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное дополнительное ПО, защищенное несколькими слоями обфускации и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией. Примечательно, что оно написано на PowerShell – это один из крайне редких случаев, когда этот язык не просто используется злоумышленниками в ходе атаки, а является инструментом для создания полноценного вредоносного ПО такого класса.  Этот сценарий атаки предоставляет киберпреступникам широкий спектр вариантов монетизации: вывод финансовых средств, хищение конфиденциальных данных, шпионаж и т.д.

 

«TinyScouts используют такое вредоносное ПО и такие методы его доставки, упоминание о которых мы не нашли в открытых источниках, а значит можно сделать предположение о том, что это работа новой группировки. Этот факт вкупе с количеством уловок, направленных на то, чтобы остаться незамеченными, и индивидуальность сценария атаки для каждой конкретной жертвы говорит о том, что это не просто еще одна команда, организующая нецелевые массовые атаки. По нашим оценкам, технические навыки TinyScouts совершенно точно не ниже, чем у группировки, стоящей, например, за атаками Silence, а в технических аспектах доставки ПО на машину жертвы TinyScouts даже превосходят их, хотя и уступают APT-группировкам и правительственным кибервойскам», – отметил Игорь Залевский, руководитель отдела расследования инцидентов, Solar JSOC.

То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts – как минимум, о технической готовности к ряду одновременных атак на крупные организации.

Контакты для прессы

Тел./факс: +7 (495) 708-32-81
E-mail: reclama@tpnews.ru

 

Корпоративные новости

Директор АОИП Кирилл Косминский принял участие в сессии Ассоциации национальных чемпионов 22 марта 2024 г. в рамках общего собрания членов Ассоциации «Национальных чемпионов» была проведена открытая сессия «Умные инвестиции для чемпионов роста».В ходе сессии обсуждались актуальные вопросы привлечения внешнего финансирования быстрорастущими технологическими компаниями, а также направления развития инструментария их финансовой поддержки. Среди затронутых в дискуссии вопросов основное внимание было уделено распространению системы мер поддержки на сегмент «постМСП», программам грантовой поддержки и льготного кредитования инновационных субъектов экономики, а также розничным
Совкомбанк вошел в Межведомственную комиссию по присвоению московским компаниям ESG-статуса Совкомбанк примет участие в работе Межведомственной комиссии по вопросам присвоения, подтверждения и прекращения статуса соответствия деятельности организаций Целям устойчивого развития (ESG-статуса) российских компаний. Андрей Королев, исполнительный директор департамента рынков капитала, войдет в состав комиссии.Совкомбанк примет участие в работе Межведомственной комиссии по вопросам присвоения, подтверждения и прекращения статуса соответствия деятельности организаций Целям устойчивого развития (ESG-статуса) российских компаний. Андрей Королев, исполнительный директор департамента рынков кап
Новикомбанк — генеральный партнер ТЭФ-2024 Опорный банк Госкорпорации Ростех стал генеральным партнером Татарстанского международного форума по энергетике и энергоресурсоэффективности (ТЭФ). Новикомбанк и Республику Татарстан связывает тесное сотрудничество, что позволило финансовому институту поддержать значимое региональное событие.ТЭФ зарекомендовал себя как эффективная межрегиональная площадка для обсуждения вопросов энергоэффективных технологий, обмена мнениями и диалога с представителями власти. В этом году гостей ждет насыщенная деловая программа, которая включает в себя заседание правительства республики, ряд профильных круглых
Сотрудники СберСтрахования жизни приняли участие в донорстве крови По итогам мероприятия сдано около 40 литров крови.Сотрудники СберСтрахования жизни приняли участие в донорстве крови при поддержке и организации Национального медицинского исследовательского центра (НМИЦ) сердечно-сосудистой хирургии имени А. Н. Бакулева. Мобильный пункт сдачи крови организован на территории офиса компании. По итогам мероприятия донорами крови стали более 80 сотрудников (сдано около 40 литров крови). Донорство крови является неотъемлемой частью корпоративной культуры СберСтрахования жизни, которая позволяет сотрудникам внести весомый вклад в жизни и будущее населения
Все корпоративные новости »