Хакеры из TinyScout: свежее ПО и продвинутые схемы атак
Центр мониторинга и реагирования на киберугрозы Solar JSOC сообщил о новой хакерской группировке, атаки которой они выявили и зафиксировали. Киберпреступники используют вредоносное ПО, которое не было известно до настоящего времени, а их технические навыки, как считают эксперты, не ниже, чем у хакеров всемирно известной группировки Silence. Последняя, по подсчетам аналитиков Group-IB, атаковала банки более 30-ти государств и похитила из них, только по подтвержденным данным, не менее $4,2 млн.
Хакеры новой кибергруппы, получившей условное название TinyScout (по сочетанию наименования главных функций в коде), в настоящий момент специализируется на атаках на российские банки и энергетические компании. Схема атак, как считают эксперты в сфере компьютерной безопасности, исключительна по своей сложности.
Так, на первом ее этапе намеченным жертвам отправляются фишинговые письма трех типов. Письма первого типа содержат просьбу об интервью якобы от представителей СМИ, письма второго типа - предупреждение о начале второй волны коронавирусной инфекции, а письма третьего типа четко таргетированы, и сообщения в них относятся непосредственно к деятельности атакуемой организации. Но во всех этих письмах для получения дополнительной информации адресату предлагается пройти по размещенной вредоносной ссылке.
Сделав это, адресат запускает многоэтапную загрузку основного компонента вредоносного ПО, которое, по мнению экспертов, является уникальным. Первый этап загрузки киберпреступники проводят с предосторожностью в максимальной степени. В отдельности каждый из этих шагов не привлекает внимания служб безопасности и систем защиты информации. Загрузка происходит через сеть прокси-серверов TOR (The Onion Router), позволяющую устанавливать анонимное сетевое соединение. Таким образом, эффективность меры противодействия, запрещающей соединение с IP-адресами серверов злоумышленников, стремится к нулю.
Следующий этап атаки посвящен сбору информации об атакуемом вредоносами компьютере и передаче этой информации взломщикам.
Если зараженный компьютер не представляет для хакеров интереса, используемое в ходе атаки ПО собирает пароли пользователя из браузеров и почтовых клиентов. В рамках этого этапа злоумышленники применяют и легитимные программные продукты, например, принадлежащие компании Nirsoft. Поскольку такое ПО не нужно скачивать, и оно не оставляет записей в реестре операционной системы, следы его активности обнаружить сложно. Затем вся размещенная в компьютере информация зашифровывается, а дополнительный модуль – вымогатель – начинает требовать у пользователя выкуп за ее расшифровку.
Если зараженный компьютер хакеры могут использовать для своих целей, на него скачивается дополнительное ПО, которое защищено несколькими слоями запутывания кода (обфускации) и шифрования. Хакеры получают, таким образом, полный удаленный контроль над скомпрометированным компьютером. Как считают эксперты, это полноценное вредоносное ПО высокого класса. Кроме того, оно написано на скриптовом языке PowerShell, что встречается крайне редко – как правило, хакерское сообщество использует этот язык лишь в ходе атак.
Как прокомментировал Игорь Залевский, руководитель отдела расследования инцидентов центра мониторинга Solar JSOC, упоминаний в открытых источниках о вредоносном ПО и методах его доставки, которые используют хакеры в ходе новых атак, эксперты не нашли. А если оценить количество уловок, направленных на то, чтобы остаться незамеченными, и индивидуальность сценария атаки для каждой конкретной жертвы, можно сделать вывод о том, что технические навыки хакеров TinyScouts весьма высоки. «Лидерами» по этому показателю остаются лишь APT-группировки и правительственные кибервойска.
Кроме того, полагают специалисты рынка безопасности, TinyScouts технически готова к тому, чтобы организовать и провести целый ряд масштабных атак на крупные организации одновременно. Об этом говорит тот факт, что решение о сценарии атаки хакер принимает уж посте того, как определит, какой именно организации принадлежит тот или иной зараженный компьютер.