Специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC выявили новую киберпреступную группировку. Она использует сложную схему атаки и уникальное вредоносное ПО, не известное ранее. Новая группировка получила название TinyScouts – по сочетанию наименования главных функций в коде. На данный момент эксперты фиксируют атаки на банки и энергетические компании.

На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых получателя предупреждают о начале второй волны пандемии коронавируса и для получения дополнительной информации предлагают пройти по ссылке. Встречаются также варианты фишинговых писем, имеющий четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит вполне убедительно, однако также содержит вредоносную ссылку.

Кликнув по ней, жертва запускает загрузку основного компонента вредоносного ПО, которая происходит в несколько итераций. На этом этапе злоумышленники действуют максимально медленно и осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников.

На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает ее злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль – «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифрование. В ходе атаки используется и легитимное ПО, в частности, принадлежащее компании Nirsoft. Перед тем, как данные на компьютере будут зашифрованы, оно собирает пароли пользователя из браузеров и почтовых клиентов, не оставляя заметных следов активности, поскольку не требует установки и не формирует записей в реестре ОС.

Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное дополнительное ПО, защищенное несколькими слоями обфускации и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией. Примечательно, что оно написано на PowerShell – это один из крайне редких случаев, когда этот язык не просто используется злоумышленниками в ходе атаки, а является инструментом для создания полноценного вредоносного ПО такого класса. Этот сценарий атаки предоставляет киберпреступникам широкий спектр вариантов монетизации: вывод финансовых средств, хищение конфиденциальных данных, шпионаж и т.д.

«TinyScouts используют такое вредоносное ПО и такие методы его доставки, упоминание о которых мы не нашли в открытых источниках, а значит можно сделать предположение о том, что это работа новой группировки. Этот факт вкупе с количеством уловок, направленных на то, чтобы остаться незамеченными, и индивидуальность сценария атаки для каждой конкретной жертвы говорит о том, что это не просто еще одна команда, организующая нецелевые массовые атаки. По нашим оценкам, технические навыки TinyScouts совершенно точно не ниже, чем у группировки, стоящей, например, за атаками Silence, а в технических аспектах доставки ПО на машину жертвы TinyScouts даже превосходят их, хотя и уступают APT-группировкам и правительственным кибервойскам», – отметил Игорь Залевский, руководитель отдела расследования инцидентов, Solar JSOC.

То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts – как минимум, о технической готовности к ряду одновременных атак на крупные организации.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Госсектор под угрозой, есть жертвы: Solar 4RAYS выявили хакерскую группировку, атаковавшую федеральное ведомство

Госсектор под угрозой, есть жертвы: Solar 4RAYS выявили хакерскую группировку, атаковавшую федеральное ведомство

Узнать больше
«Солар» и Т2 представили готовое решение для киберзащиты малого и среднего бизнеса

«Солар» и Т2 представили готовое решение для киберзащиты малого и среднего бизнеса

Узнать больше
Хакеры нацелились на школьников и студентов: в ТОП-3 входят фишинг, онлайн-мошенничество и ресурсы для «посева» ВПО

Хакеры нацелились на школьников и студентов: в ТОП-3 входят фишинг, онлайн-мошенничество и ресурсы для «посева» ВПО

Узнать больше
Эмоции школьников и студентов – вот куда бьют мошенники

Эмоции школьников и студентов – вот куда бьют мошенники

Узнать больше
Solar appScreener 3.15.5 поддерживает анализ кода согласно национальному стандарту ГОСТ 71207-2024

Solar appScreener 3.15.5 поддерживает анализ кода согласно национальному стандарту ГОСТ 71207-2024

Узнать больше
Российская неделя кибербезопасности 2025:   цифровые художники, вузы и эксперты в ИТ и ИБ объединятся, чтобы дать отпор киберпреступности

Российская неделя кибербезопасности 2025: цифровые художники, вузы и эксперты в ИТ и ИБ объединятся, чтобы дать отпор киберпреступности

Узнать больше
Российский рынок сервисов безопасности «по подписке» может удвоиться к 2028 году

Российский рынок сервисов безопасности «по подписке» может удвоиться к 2028 году

Узнать больше
Три дня для защиты будущего: cтартовала регистрация на SOC Forum 2025

Три дня для защиты будущего: cтартовала регистрация на SOC Forum 2025

Узнать больше
«Солар»: хакеры активнее заражают компании вредоносным ПО, среди жертв – здравоохранение, госсектор и ТЭК

«Солар»: хакеры активнее заражают компании вредоносным ПО, среди жертв – здравоохранение, госсектор и ТЭК

Узнать больше