Изощренные кибератаки на правительственные учреждения: анализ последних угроз
Правительственные учреждения по всему миру сталкиваются с все более изощренными кибератаками, где злоумышленники активно используют методы социальной инженерии для проникновения в информационные системы. Недавний отчет выявил два ключевых направления атак: фишинговую кампанию, нацеленную на Департамент занятости и трудовых ресурсов Южной Каролины (DEW), а также вредоносный PDF-файл, маскирующийся под судебное уведомление от судебной власти Южной Африки.
Фишинговая кампания против DEW Южной Каролины
В рамках расследования было обнаружено фишинговое письмо с вложенным ZIP-файлом «Quotation.zip», содержащим исполняемый файл, относящийся к вредоносному ПО FormBook. Это ПО функционирует как похититель учетных данных и демонстрирует поведение, классифицируемое в рамках MITRE ATT&CK под техниками:
- T1552.001 — Учетные данные в файлах
- T1518 — Обнаружение программного обеспечения
Анализ сетевого трафика с использованием правил Suricata подтвердил активность FormBook, что позволило уточнить технические детали атаки и выявить сопутствующие индикаторы компрометации (IOCs).
Структурированный подход злоумышленников
Дополнительный анализ подобных фишинговых атак, нацеленных на правительственные структуры США, выявил образцы формуляров, используемых в электронных письмах, а также ряд вредоносных доменов, изображающих себя под авторитетные учреждения, например, Social Security Administration (SSA).
- Один из обнаруженных доменов предлагал загрузить инструмент удаленного администрирования ScreenConnect, что является попыткой несанкционированного доступа к системам пользователей.
- Подобные поддельные сайты и письма демонстрируют организованный и многоуровневый подход злоумышленников к социальной инженерии и обходу защиты.
Атаки на министерства иностранных дел и имитация правительственных ресурсов
Отчет также указывает на активное использование вредоносных доменов, имитирующих официальные сайты правительственных учреждений, которые применяются в фишинговых кампаниях против министерств иностранных дел. Подобные страницы призваны обмануть пользователей и получить доступ к конфиденциальной информации.
Вредоносный PDF, маскирующийся под судебное уведомление
Особое внимание уделено анализу вредоносного PDF-файла из Южной Африки, который выдается за срочное судебное уведомление. Документ содержит ссылку, при переходе по которой пользователь перенаправляется на фишинговую страницу, имитирующую вход в Microsoft Office 365. Цель – похитить учетные данные пользователя.
Для повышения эффективности обнаружения подобных угроз исследователи применили методики:
- Извлечение и анализ встроенных изображений из PDF-документа;
- Сопоставление изображений с базой данных идентичных случаев социальной инженерии.
Данные меры способствуют выявлению аналогичных попыток взлома и повышают оперативность реагирования.
Заключение
Современные кибератаки на государственные структуры становятся все более сложными и изощренными, сочетая технические методы с психологическими приемами социальной инженерии. Это требует от специалистов по кибербезопасности внедрения комплексных инструментов мониторинга, анализа и реагирования, основанных на передовых методологиях, таких как MITRE ATT&CK, а также использовании современных систем обнаружения сетевых угроз, таких как Suricata.
Повышение осведомленности пользователей и постоянное обновление технических средств защиты остаются ключом к успешному противодействию этим угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ кибератак на правительственные учреждения: фишинг и вредоносные PDF".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.