Хотя взломать кого-то с помощью фишинговых атак было легко десять лет назад, развитие технологий обнаружения угроз и кибер-осведомленности среди людей замедлило успех фишинговых и социальных атак на протяжении многих лет.
Поскольку фишинг является своего рода единовременной возможностью для хакеров, прежде чем их жертвы заподозрят это и, скорее всего, больше не попадутся на тот же трюк, сложные хакерские группы начали прилагать много усилий, времени и исследований для разработки хорошо продуманного фишинга. кампания.
В одной из таких последних кампаний, обнаруженных исследователями кибербезопасности в китайской хакерской группе Check Point, известной как RancorОбнаружено, что в период с декабря 2018 года по июнь 2019 года проводились очень целенаправленные и масштабные нападения на правительственные структуры в Юго-Восточной Азии.
Что интересного в этой продолжающейся 7-месячной кампании, так это то, что в течение этого периода группа Rancor постоянно обновляла тактику, инструменты и процедуры (TTP), основываясь на своих целях, пытаясь придумать фишинговое содержание электронной почты, и документы, которые вымогали настолько убедительно, насколько это возможно.
«Наблюдаемые атаки начались с электронных писем, отправленных от имени сотрудников различных правительственных департаментов, посольств или правительственных организаций в стране Юго-Восточной Азии», - говорится в отчете, опубликованном CheckPoint и переданном в частном порядке в The Hacker News до его публикации.
«Похоже, что злоумышленники были полны решимости достичь определенных целей, поскольку десятки электронных писем были отправлены сотрудникам тех же министерств. Кроме того, происхождение электронных писем, вероятно, было подделано, чтобы сделать их более надежными».
Постоянно развивающаяся тактика, инструменты и процедуры
Исследователи обнаружили различные комбинации TTP, основанные на их временной шкале, доставке, постоянстве и полезных нагрузках, а затем объединили их в 8 основных вариантов, как указано ниже в этой статье.
Каждый вариант атаки начинался с классического электронного письма о фишинге, содержащего вредоносный документ, предназначенный для запуска макросов и использования известных уязвимостей, для установки бэкдора на компьютеры жертв и получения полного доступа к системам.
Интересно, что как часть цепочки заражения, в большинстве кампаний злоумышленники также приносят свои собственные законные, подписанные и доверенные исполняемые файлы основных антивирусных продуктов для дополнительной загрузки вредоносных файлов DLL (динамически подключаемых библиотек), чтобы избежать обнаружения, особенно в продуктах мониторинга поведения.
Как показано на приведенных выше рисунках, нарушенные законные исполняемые файлы принадлежат антивирусным продуктам, включая антивирус Avast, агент BitDefender и защитник Windows.
Хотя цепочки атак включают действия без файлов, такие как использование макросов VBA, код PowerShell и легитимные встроенные инструменты Windows, эта кампания не предназначена для реализации подхода без файлов, так как исследователи сообщили The Hacker News, что другие части кампании раскрывают вредоносные действия в файловую систему.
«На сегодняшний день мы не видели такого постоянного нападения на правительство; те же нападения были направлены в течение 7 месяцев. Мы считаем, что правительство США должно принять это к сведению», - предупреждают исследователи, когда приближаются выборы в США.
«Чтобы напасть на правительство США, этим китайским хакерам не нужно было бы ничего менять, за исключением того, что они делали свои документы с приманками на английском языке и включали темы, которые могли бы заинтересовать жертву, чтобы жертва открыла файл».
Ранее была обнаружена хакерская группа Rancor, нападающая на Камбоджу и Сингапур, которая продолжала свои действия против организаций в регионе Юго-Восточной Азии, и на этот раз группа в течение 7 месяцев прилагает усилия к правительственному сектору в Юго-Восточной Азии.
«Мы ожидаем, что группа продолжит развиваться, постоянно меняя свои TTP так же, как мы наблюдали на протяжении всей кампании, а также прилагая усилия, чтобы обойти продукты безопасности и избежать присвоения», - заключают исследователи.
Чтобы узнать больше о группе Rancor и ее последней кампании, вы можете обратиться к отчету CheckPoint под названием « Rancor: год фишинга ».
