Так же как криминалисты выделяют из общей массы преступников серийных убийц, мы можем выделить и серийных фишеров, которые долго и планомерно терроризируют своими вредоносными рассылками компании и пользователей. Об одном из них — наш сегодняшний пост.
В начале 2024 года при изучении массовых вредоносных рассылок специалисты F.A.C.C.T. Threat Intelligence выделили несколько схожих атак и выдвинули предположение, что все они связаны с одним и тем же атакующим. Злоумышленник был назван Narketing163 по одному из наиболее часто используемых им электронных адресов – narketing163@gmail[.]com, который встречался во множестве писем в качестве обратного электронного адреса.
В ходе своих атак злоумышленник распространял вредоносные программы, которые были атрибутированы решением F.A.C.C.T. Managed XDR к следующим семействам ВПО: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger.
География атак
По данным F.A.C.C.T., Narketing163 атакует пользователей из разных стран, в числе которых Беларусь, Казахстан, Азербайджан, Армения, Болгария, Украина, Турция, США, Германия, Испания, Индия, Румыния, Великобритания, Сингапур, Марокко, Литва, Норвегия, Шри-Ланка, Люксембург, Мексика. Есть в списке целей Narketing163 и Россия.
По состоянию на сентябрь 2024 года, было обнаружено более 500 вредоносных писем атакующего, нацеленных на российские компании.
Анализ активности злоумышленника
Narketing163 проводит фишинговые атаки на российские компании как минимум с 14 июля 2023 года и в настоящий момент не прекратил свою активность. Вредоносные рассылки Narketing163 нацелены на компании из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности.
В своих атаках Narketing163 использует различное вредоносное ПО, написанное под ОС Windows. Разберем более детально каждое из них:
RedLine Stealer — вредоносное ПО, которое появилось в продаже на андеграундных ресурсах в 2020 году. Основные возможности:
- сбор из браузеров:
- логинов и паролей;
- файлов cookie;
- данных автозаполнения;
- данных кредитных карт;
- сбор данных из FTP-клиентов, IM-клиентов;
- файл-граббер;
- сбор информации о системе жертвы;
- выполнение задач в зараженной системе.
Agent Tesla — это популярный троян, появившийся в продаже в 2014 году. Сначала создавался как кейлогер, но с течением времени получил расширенные функциональные возможности: захват камеры жертвы, сбор информации о зараженном устройстве, кража паролей из приложений и браузеров, загрузка и запуск приложений на компьютере жертвы и др.
FormBook (FormBookFormgrabber) — инфостилер, крадущий данные из браузеров, FTP-клиентов и мессенджеров. Начал продаваться на хакерских форумах с начала 2016 года. Вредоносная программа внедряется в процессы и устанавливает хуки для регистрации нажатий клавиш, кражи содержимого буфера обмена и извлечения данных из сеансов HTTP.
Snake Keylogger — это вредоносная программа, обнаруженная в ноябре 2020 года, основная функция которой — запись нажатий клавиш пользователей и передача собранных данных злоумышленникам. Заражение данным кейлоггером представляет большую угрозу конфиденциальности и онлайн-безопасности затронутых пользователей, поскольку вредоносное ПО может извлекать практически все виды информации — имена пользователей, пароли, данные банковских карт и другую информацию.
Примеры фишинговых писем
В отправляемых письмах злоумышленник оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам:
- narketing163@gmail[.]com
- tender12@mail[.]com
- verconas@mail[.]com
- kubrayesti@gmail[.]com
Ниже представлены примеры писем с обратным электронным адресом narketing163@gmail[.]com на русском, турецком и азербайджанском языках.
Письмо с обратным электронным адресом narketing163@gmail[.]com на русском языке:
Письмо с обратным электронным адресом narketing163@gmail[.]com на турецком языке:
Письмо с обратным электронным адресом narketing163@gmail[.]com на азербайджанском языке:
Информация из технических заголовков письма с обратным электронным адресом narketing163@gmail[.]com, полученная с помощью решения F.A.C.C.T. Business Email Proteсtion:
Письма с обратным электронным адресом verconas@mail[.]com написаны на тех же трех языках, также было замечено одно письмо на английском языке. Скриншоты представлены ниже.
Письмо с обратным электронным адресом verconas@mail[.]com на русском языке:
Письмо с обратным электронным адресом verconas@mail[.]com на турецком языке:
Письмо с обратным электронным адресом verconas@mail[.]com на азербайджанском языке:
Письмо с обратным электронным адресом verconas@mail[.]com на английском языке:
В обнаруженных письмах с обратным электронным адресом tender12@mail[.]com тексты были написаны на турецком и азербайджанском языках, что представлено в примерах ниже.
Письмо с обратным электронным адресом tender12@mail[.]com на турецком языке:
Письмо с обратным электронным адресом tender12@mail[.]com на азербайджанском языке:
Тексты писем с последним известным на момент сентября 2024 года обратным электронным адресом злоумышленника kubrayesti@gmail[.]com были написаны на турецком языке, далее представлен пример письма.
Письмо с обратным электронным адресом kubrayesti@gmail[.]com на турецком языке:
Рекомендации по защите от фишинговых атак
Чтобы защититься от подобного рода фишинговых атак, специалисты F.A.C.C.T. рекомендуют:
- Использовать программные решения для защиты электронной почты, обнаружения и реагирования на киберугрозы и проактивного анализа киберугроз. Рекомендуем ознакомиться с возможностями продуктов F.A.C.C.T., реализующих данные меры: Business Email Protection, Managed XDR и Threat Intelligence.
- Регулярно обновлять установленное программное обеспечение.
- Проводить обучение сотрудников и тестовые фишинговые атаки.
При отсутствии специализированных программных решений для борьбы с фишинговыми угрозами корпоративным пользователям следует обращать внимание на следующие важные детали электронных писем, которые в совокупности помогут выявить фишинг:
- Ожидаемость письма (было ли известно заранее о получении подобного письма, соответствует ли оно специфике деятельности компании).
- Язык письма (если компания редко работает с иностранными клиентами/партнерами или не работает вовсе, то факт получения письма на иностранном языке должен сразу насторожить).
- Срочность просьбы (в первом примере письма, приведенном ранее, в теме указано «СРОЧНЫЙ ЗАПРОС», такой метод часто используется в фишинговых атаках для манипулирования пользователями).
- Конкретика текста писем (очень часто фишинговые атаки проводят с типовыми текстами, которые универсально подходят под разные компании, поэтому отсутствие индивидуальности и упоминания названия, сотрудников, продукции адресуемой компании тоже можно расценивать как один из признаков фишинга).
- Орфографические ошибки (часто используются злоумышленниками для обхода спам-фильтров).
- Подозрительный адрес электронной почты отправителя (зачастую злоумышленник использует скомпрометированные почтовые аккаунты, подменяет адрес электронной почты отправителя или создает почтовые домены, похожие на существующие для имитации активности от лица какой-либо компании, но если он не постарался мимикрировать, то это будет заметно по нетипичному домену в адресе электронной почты; при сомнениях всегда можно посмотреть примеры электронных адресов компаний на их официальных сайтах).
- Ссылки в письмах на сайты без SSL-сертификата (с аббревиатурой http вместо https) или с подозрительными доменами (по таким ссылкам нельзя переходить, а если есть сомнения, то проверять легитимность доменов в поисковых системах).
- Вложения (не скачивать файлы из недостоверных источников).
В нашем блоге вы узнаете более подробно о о тактиках и техниках злоумышленника. Подробности — по ссылке.
Для того, чтобы быть в курсе актуальных новостей в сфере информационной безопасности, подписывайтесь на канал «Кибербез по фактам», а также на наш остросюжетный телеграм-канал.