Специалисты Solar JSOC выявили новую хакерскую группировку

A A= A+ 14.08.2020 Новости БД

Специалисты центра мониторинга и реагирования на #киберугрозы Solar JSOC выявили новую #киберпреступную группировку. Она использует сложную схему атаки и уникальное вредоносное ПО, не известное ранее. Новая группировка получила название #TinyScouts – по сочетанию наименования главных функций в коде. На данный момент эксперты фиксируют атаки на банки и энергетические компании.

 

На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых получателя предупреждают о начале второй волны пандемии коронавируса и для получения дополнительной информации предлагают пройти по ссылке. Встречаются также варианты фишинговых писем, имеющий четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит вполне убедительно, однако также содержит вредоносную ссылку.

 

Кликнув по ней, жертва запускает загрузку основного компонента вредоносного ПО, которая происходит в несколько итераций. На этом этапе злоумышленники действуют максимально медленно и осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников.

 

На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает ее злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль – «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифрование. В ходе атаки используется и легитимное ПО, в частности, принадлежащее компании Nirsoft. Перед тем, как данные на компьютере будут зашифрованы, оно собирает пароли пользователя из браузеров и почтовых клиентов, не оставляя заметных следов активности, поскольку не требует установки и не формирует записей в реестре ОС.

 

Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное дополнительное ПО, защищенное несколькими слоями обфускации и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией. Примечательно, что оно написано на PowerShell – это один из крайне редких случаев, когда этот язык не просто используется злоумышленниками в ходе атаки, а является инструментом для создания полноценного вредоносного ПО такого класса.  Этот сценарий атаки предоставляет киберпреступникам широкий спектр вариантов монетизации: вывод финансовых средств, хищение конфиденциальных данных, шпионаж и т.д.

 

«TinyScouts используют такое вредоносное ПО и такие методы его доставки, упоминание о которых мы не нашли в открытых источниках, а значит можно сделать предположение о том, что это работа новой группировки. Этот факт вкупе с количеством уловок, направленных на то, чтобы остаться незамеченными, и индивидуальность сценария атаки для каждой конкретной жертвы говорит о том, что это не просто еще одна команда, организующая нецелевые массовые атаки. По нашим оценкам, технические навыки TinyScouts совершенно точно не ниже, чем у группировки, стоящей, например, за атаками Silence, а в технических аспектах доставки ПО на машину жертвы TinyScouts даже превосходят их, хотя и уступают APT-группировкам и правительственным кибервойскам», – отметил Игорь Залевский, руководитель отдела расследования инцидентов, Solar JSOC.

То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts – как минимум, о технической готовности к ряду одновременных атак на крупные организации.

Контакты для прессы

Тел./факс: +7 (495) 708-32-81
E-mail: reclama@tpnews.ru

 

Корпоративные новости

Представители АОИП провели в НИУ ВШЭ мастер-класс по привлечению инвестиций Директор Ассоциации операторов инвестиционных платформ (Ассоциации краудфандинга) Кирилл Косминский, директор Инвестиционной платформы PANFILOV Дмитрий Панфилов и соучредитель инвестиционной платформы ИНВЕСТМЕН Николай Солодовников провели для студентов магистерской программы «Финансовые стратегии и аналитика» Национального исследовательского университета «Высшая Школа Экономики» в Перми мастер-класс «Привлечение инвестиций: от стартапов до устойчивого бизнеса».Мастер-класс, прошедший 2 апреля 2025 года в смешанном очном-онлайн формате, является частью подготовки Высшей Школой Экономики в Перм
В рамках форума «Энергопром» прошел деловой завтрак НОВИКОМа Дочерний банк Госкорпорации Ростех провел традиционный деловой завтрак в рамках международного энергетического форума «Энергопром», проходящего в Казани. В мероприятии приняли участие Раис Республики Татарстан Рустам Минниханов, министр энергетики РФ Сергей Цивилев, руководители крупных промышленных предприятий региона, а также делегации дружественных стран Беларуси, Казахстана, Таджикистана, Узбекистана.В своем выступлении Председатель Правления НОВИКОМа Елена Георгиева подчеркнула, что банк уже более 30 лет работает с крупными промышленным предприятиями Татарстана. У финансовой организации п
BSS выиграла премию FINNEXT за цифровизацию государственных инициатив в налоговой сфере Единственное в России промышленное вендорское решение от компании BSS по поддержке налогового режима АУСН отмечено премией за инновации и технологии FINNEXT.Компания BSS, ведущий разработчик решений для цифровой трансформации финансового сектора, стала лауреатом премии FINNEXT в номинации «Цифровизация государственных инициатив» за проект создания уникального IT-решения для поддержки нового налогового режима АУСН («автоматизированная упрощенка»). Премия FINNEXT отмечает проекты, которые формируют будущее финансовой индустрии через инновации и технологии. Награда подтвер
Сбер и СберСтрахование объявили о втором выпуске ЦФА на космические запуски СберСтрахование во второй раз выпускает цифровые финансовые активы (ЦФА) с целью хеджирования своих рисков, связанных с космическими запусками, на платформе цифровых активов Сбера. Приобрести ЦФА в этот раз смогут не только юридические, но и физические лица — квалифицированные инвесторы по ЦФА.Второй выпуск приурочен к пилотируемому запуску транспортного космического корабля «Союз МС-27» к Международной космической станции (МКС). Он запланирован на 8 апреля. СберСтрахование впервые выпустила ЦФА на космические запуски в сентябре 2024 года. Тогда эмиссия составила 2 тыс. ЦФА.
Все корпоративные новости »