Группировка Core Werewolf применяет фишинг и легитимное ПО, чтобы получить полный контроль над системой пользователя, копировать файлы, отслеживать его действия. Цель преступников — конфиденциальная информация о российских критически важных объектах.
Сегодня у многих киберпреступников и АРТ-группировок стало трендом использование легитимных средств для того, чтобы дольше оставаться незамеченными.
Пример такой группировки — Core Werewolf, которая начала деятельность не позже августа 2021 г. и продолжает атаки до сих пор. Эксперты киберразведки BI.ZONE проанализировали документы, которые преступники использовали для отвлечения внимания жертв, и выяснили: основными целями шпионов стали российские организации, связанные с оборонно-промышленным комплексом и критической инфраструктурой.
Для проникновения в учреждения атакующие использовали фишинговые письма со ссылками на опасные файлы, замаскированными под документы форматов docx и pdf: постановления и приказы, методические пособия, служебные записки и резюме. При открытии такого файла пользователь видел заявленный документ, в то время как на его устройство в фоновом режиме устанавливалась программа UltraVNC. Это легитимное ПО, которое часто используют для удаленного подключения к компьютеру. Атакующие же таким образом получали доступ к скомпрометированному устройству.
«Сегодня группы все чаще отказываются от вредоносного ПО в пользу легитимных или встроенных в операционную систему инструментов. Пример Core Werewolf в очередной раз доказывает эффективность таких методов в управляемых человеком атаках», — отметил Олег Скулкин, руководитель управления киберразведки BI.ZONE.
Чтобы снизить риски подобных атак, необходимо выстраивать и реактивный, и проактивный подход к обнаружению киберугроз. Эксперты BI.ZONE рекомендуют защищать электронную почту специализированными решениями, которые блокируют вредоносные письма. Кроме того, необходимо наладить мониторинг событий кибербезопасности, чтобы отслеживать подозрительное поведение легальных программ.
Комментирует Дмитрий Овчинников, главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»: «Киберпреступники, наравне с купленными вредоносными программами, специально разработанными под конкретную задачу пэйлоадами и богатым инструментарием, также уверенно и официально используют легальное ПО. Примером можно привести систему удаленного доступа, которая устанавливается в фоновом режиме по запуску из файла. Для борьбы с подобными методами, обычное антивирусное ПО не поможет. Необходимо соблюдать ряд базовых мер безопасности в корпоративной сети, которые полностью нейтрализуют подобный сценарий атаки».
- Пользователю должен быть назначен минимальный для работы набор прав на компьютере;
- На компьютере должен быть установлен минимальный для работы набор программ. Чем больше ПО установлено, тем больше площадь атаки и вероятность наличия уязвимостей в легальном ПО;
- Необходимо иметь систему мониторинга за используемым ПО. Как минимум, надо иметь возможность собирать данные с серверов и рабочих мест для последующего анализа;
- Необходимо иметь систему централизованного управления установкой, удалением ПО. К ней необходимо иметь шаблоны стандартных рабочих мест, что бы можно было производить сверку и выявление нежелательной активности.
Кроме этого, этими системами необходимо пользоваться на постоянной основе и выявлять своевольно установленное ПО или иные аномалии. Большим подспорьем будет проведение обучения пользователей, чтобы они имели иммунитет против социальной инженерии и фишинговых атак.
