В недавних отчетах зафиксирована целенаправленная вредоносная кампания, направленная на компрометацию систем посредством обманных сообщений и поддельных «исправлений», которые маскируются под легитимные обновления с цифровой подписью. По характеру рассылок очевидно, что злоумышленники преимущественно фокусируются на государственных администрациях, используя техники социального инжиниринга для побуждения пользователей переходить по вредоносным ссылкам.
Как работает атака
Атакующие рассылают сообщения, которые внешне похожи на официальные уведомления об обновлениях или исправлениях. Такие сообщения:
- могут содержать ссылки, имитирующие легитимные ресурсы;
- используют тему цифровых подписей, чтобы повысить доверие жертвы;
- направлены на то, чтобы побудить пользователя вручную загрузить и запустить вредоносный файл.
Целью перехода по ссылке обычно является доставка и выполнение вредоносного ПО, которое затем может распространяться по сети организации и красть данные или обеспечивать удалённый доступ злоумышленникам.
«Крайне важно, чтобы пользователи воздерживались от перехода по этим ссылкам и сохраняли бдительность в отношении потенциальных попыток фишинга.»
Кому это угрожает
Судя по содержимому сообщений, приоритетной целью являются государственные администрации и связанные с ними структуры. Однако методика атак (социальная инженерия + поддельные обновления) универсальна и может быть применена к любым организациям, где пользователи имеют доступ к критичным ресурсам.
Рекомендации для пользователей
- Не переходите по неожиданным ссылкам и не загружайте приложения/обновления из сомнительных источников.
- Проверяйте подлинность уведомлений об обновлениях через официальные каналы поставщика ПО или системного администратора.
- Если письмо вызывает сомнения — свяжитесь с внутренней службой безопасности прежде чем предпринимать какие-либо действия.
Рекомендации для организаций
Для снижения риска и оперативного реагирования на возможные инциденты рекомендуется:
- Использовать Indicators of Compromise (IOC), предоставляемые Cert-Agid, для проведения глубоких проверок систем, которые могли стать мишенью.
- Применять инструмент hashr для сканирования и идентификации вредоносных файлов по их хэш-суммам.
- В случае подтверждённой компрометации немедленно изолировать поражённое устройство, чтобы предотвратить дальнейшее распространение.
- Оперативно сообщать о происшествиях в CSIRT ITALIA для координированного реагирования и обмена информацией.
- Обновить процедуры обработки внешних уведомлений об обновлениях: централизовать распространение апдейтов через доверенные каналы и внедрить механизм валидации цифровых подписей.
- Проводить регулярные тренинги по распознаванию фишинга и отрабатывать сценарии реагирования на инциденты.
Вывод
Ключевая мысль — сохранять бдительность и не доверять нежелательным ссылкам. Комплексный подход, включающий использование IOC от Cert-Agid, инструментов сканирования вроде hashr, оперативную изоляцию скомпрометированных узлов и взаимодействие с CSIRT ITALIA, позволит снизить риски и эффективнее реагировать на подобные targeted-кампании.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинговая кампания: ложные исправления с поддельными цифровыми подписями".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.