В последние месяцы киберпреступники все чаще применяют редкие инструменты, чтобы обойти системы защиты и остаться незамеченными в ИТ-инфраструктуре.
Одним из таких инструментов стал Havoc — инструмент для тестирования безопасности на проникновение, который в последние месяцы набирает популярность среди злоумышленников. Хотя его функционал аналогичен другим инструментам, Havoc используется значительно реже, что усложняет его обнаружение современными средствами кибербезопасности.
Около 12% кибератак совершаются с применением инструментов для пентеста, предназначенных для легального тестирования на проникновение. Однако с конца 2010-х годов киберпреступники все чаще включают такие инструменты в свои арсеналы, заменяя более известные программы на менее популярные. Это позволяет им избегать детектирования и продолжать операции в скрытом режиме.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence: С июля 2024 года мы выявили сразу несколько кампаний, в ходе которых злоумышленники применяли менее распространенный фреймворк Havoc, чтобы получить удаленный доступ к компьютерам жертв. Функциональные особенности Havoc принципиально не отличаются от других фреймворков. Этот инструмент менее популярен, чем другие, а потому его сложнее обнаружить средствами защиты. В этом и заключается его ключевое преимущество для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а такие группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше.
Для распространения вредоносной нагрузки фреймворка злоумышленники использовали фишинг. В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив, в котором содержался lnk-файл. Если пользователь открывал этот ярлык, на его компьютер загружался отвлекающий документ — выписка из амбулаторной карты пациента, а также устанавливался загрузчик — программа, которая затем внедряла в устройство жертвы агент фреймворка Havoc. После этого злоумышленники получали доступ к скомпрометированной системе и могли удаленно выполнять в ней команды и выгружать данные.
Новый вредонос крадет данные компаний
В другой кампании преступники рассылали фишинговые письма от лица одной из силовых структур. Пользователя уведомляли о том, что он якобы подозревается в совершении серьезного преступления, и просили предоставить документы, список которых предлагали скачать по ссылке в теле письма. На самом деле при переходе по ссылке на компьютер жертвы, как и в предыдущем случае, устанавливался загрузчик, а вслед за этим — агент.
Фишинговые рассылки по-прежнему остаются у киберпреступников одним из самых популярных способов получения первичного доступа. Причина в их низкой себестоимости, широте покрытия и высокой эффективности. Чтобы защитить корпоративную почту от фишинговых рассылок, но при этом не задерживать доставку легитимной почты, используются сервисы для фильтрации нежелательных писем.
BI.ZONE Threat Intelligence помогает выстроить эффективную защиту от атак, в том числе таких, в которых применяются редкие и сложные для выявления инструменты. Особенно в этом помогают порталы киберразведки. Получаемые из них данные о ландшафте киберугроз позволяют защитить информацию и снизить количество инцидентов.
Совсем недавно исследователи из западной ИБ-компании Proofpoint выявили серию атак вредоносного ПО Voldemort, нацеленного на шпионаж и обладающего возможностями сбора информации. Атакующие выдавали себя за налоговые органы различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию, и направляли фальшивые уведомления о налоговых изменениях организациям по всему миру.