Специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC выявили новую киберпреступную группировку. Она использует сложную схему атаки и уникальное вредоносное ПО, не известное ранее. Новая группировка получила название TinyScouts – по сочетанию наименования главных функций в коде. На данный момент эксперты фиксируют атаки на банки и энергетические компании.

На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых получателя предупреждают о начале второй волны пандемии коронавируса и для получения дополнительной информации предлагают пройти по ссылке. Встречаются также варианты фишинговых писем, имеющий четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит вполне убедительно, однако также содержит вредоносную ссылку.

Кликнув по ней, жертва запускает загрузку основного компонента вредоносного ПО, которая происходит в несколько итераций. На этом этапе злоумышленники действуют максимально медленно и осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников.

На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает ее злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль – «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифрование. В ходе атаки используется и легитимное ПО, в частности, принадлежащее компании Nirsoft. Перед тем, как данные на компьютере будут зашифрованы, оно собирает пароли пользователя из браузеров и почтовых клиентов, не оставляя заметных следов активности, поскольку не требует установки и не формирует записей в реестре ОС.

Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное дополнительное ПО, защищенное несколькими слоями обфускации и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией. Примечательно, что оно написано на PowerShell – это один из крайне редких случаев, когда этот язык не просто используется злоумышленниками в ходе атаки, а является инструментом для создания полноценного вредоносного ПО такого класса. Этот сценарий атаки предоставляет киберпреступникам широкий спектр вариантов монетизации: вывод финансовых средств, хищение конфиденциальных данных, шпионаж и т.д.

«TinyScouts используют такое вредоносное ПО и такие методы его доставки, упоминание о которых мы не нашли в открытых источниках, а значит можно сделать предположение о том, что это работа новой группировки. Этот факт вкупе с количеством уловок, направленных на то, чтобы остаться незамеченными, и индивидуальность сценария атаки для каждой конкретной жертвы говорит о том, что это не просто еще одна команда, организующая нецелевые массовые атаки. По нашим оценкам, технические навыки TinyScouts совершенно точно не ниже, чем у группировки, стоящей, например, за атаками Silence, а в технических аспектах доставки ПО на машину жертвы TinyScouts даже превосходят их, хотя и уступают APT-группировкам и правительственным кибервойскам», – отметил Игорь Залевский, руководитель отдела расследования инцидентов, Solar JSOC.

То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts – как минимум, о технической готовности к ряду одновременных атак на крупные организации.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Узнать больше
Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Узнать больше
Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Узнать больше
Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Узнать больше
ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

Узнать больше
Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Узнать больше
От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

Узнать больше
Как ИТ-специалисту перейти в кибербезопасность

Как ИТ-специалисту перейти в кибербезопасность

Узнать больше
Solar Dozor интегрируется с «МойОфис Документы Онлайн» для защиты данных

Solar Dozor интегрируется с «МойОфис Документы Онлайн» для защиты данных

Узнать больше
Идти навстречу бизнесу: «Солар» запустил промоакцию на облачный SOC для компаний с разными бюджетами

Идти навстречу бизнесу: «Солар» запустил промоакцию на облачный SOC для компаний с разными бюджетами

Узнать больше