Новая волна мошеннических атак с использованием социальной инженерии и сложного вредоносного ПО
Специалисты в области кибербезопасности обеспокоены новой волной атак, связанных с тактиками, применяемыми группой злоумышленников под названием Storm-1811. Всё указывает на то, что злоумышленники интегрируют многоступенчатый подход, где ключевую роль играют глубокая разведка и обман конкретных сотрудников организаций через поддельные звонки и взлом электронных почтовых ящиков.
Описание атаки и методы злоумышленников
В период с ноября 2024 года по начало 2025 года компания Sophos зафиксировала многочисленные инциденты, в которых злоумышленники начинали атаку с массированных рассылок спама. После этого шли обманные звонки через Microsoft Teams, цель которых — получить удалённый доступ к устройствам сотрудников.
Один из наиболее показательных случаев связан с группой вымогателей 3AM. Изначально считавшаяся ребрендингом BlackSuit/Royal ransomware, группа аффилирована с бывшими членами конфликтной группы Conti. Тогда злоумышленники:
- подделали номер телефона ИТ-отдела целевой организации;
- провели тщательную разведку для создания убедительного образа службы технической поддержки;
- установили контакт с сотрудником и убедили предоставить доступ через Microsoft Quick Assist;
- с помощью эмулятора Qemu развернули на устройстве виртуальную машину для скрытной работы;
- запустили бэкдор QDoor, который подключался к заранее зашитому IP-адресу в Литве;
- предприняли дальнейшую разведку, включая компрометацию учетной записи доменных служб;
- удалили около 868 ГБ данных, используя легитимный инструмент синхронизации;
- запустили программу-вымогатель на неуправляемом устройстве внутри сети.
Технические детали и последствия
Особенностью атаки было использование виртуальной машины на базе Qemu, что позволило злоумышленникам обходить защиту endpoint protection и избегать обнаружения. Бэкдор QDoor обеспечил им стабильное и скрытое соединение для дальнейшей деятельности.
В течение нескольких часов после первоначального доступа злоумышленники применяли PowerShell для ослабления настроек безопасности, создания новых административных учетных записей и установки дополнительных средств удаленного управления. Несмотря на использование многофакторной аутентификации (MFA) на ряде хостов, злоумышленники смогли преодолеть эти меры и реализовать масштабные кражи данных и запустить ransomware-атаку.
Рекомендации по защите и предотвращению атак
Для снижения рисков подобных сложных атак организациям необходимо внедрить комплексный подход к безопасности, включающий:
- жёсткий контроль процессов аутентификации с обязательным использованием MFA;
- ограничение и мониторинг удаленного доступа к критически важным системам;
- блокирование и контроль всех ненадежных средств удаленного доступа;
- строгую политику исполнения команд PowerShell и развертывание систем предотвращения вторжений (IDS/IPS);
- регулярное обучение персонала методам распознавания социальной инженерии;
- внедрение надёжных протоколов безопасности, касающихся выполнения программного обеспечения и доступа к сетям.
Только системный подход и осведомлённость сотрудников позволят противостоять современным многоуровневым атакам, подобным тем, что проводят группы вроде 3AM и Storm-1811.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая волна атак Storm-1811: сложные методы и рекомендации защиты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.