«Повестки» не дошли до адресата: хроника одной провалившейся кибератаки

Логотип компании
«Повестки» не дошли до адресата: хроника одной провалившейся кибератаки
Как автоматизированная система защиты электронной почты Business Email Protection компании F.A.С.С.T. остановила масштабную кибератаку якобы от имени Министерства обороны РФ.

Для киберпреступников электронная почта остается одним из популярных векторов атаки, так как позволяет относительно легко обойти стандартные средства защиты. На днях Минобороны России, а потом и Сбербанк предупредили о масштабной почтовой рассылке по российским компаниям и банкам поддельных мобилизационных предписаний. На самом деле в письмах вместо повесток было спрятано шпионское ПО. За неделю до этих событий компания F.A.С.С.T. не просто сообщила об этой угрозе, но и заблокировала сотни опасных писем, защитив своих клиентов с помощью решения Business Email Protection (BEP). Учитывая, что подобные рассылки могут повториться, мы решили подробно рассказать о том, как технологии могут защитить бизнес от сложных кибератак.

Откройте «военкому»

Еще в апреле текущего года вступили в силу масштабные поправки к Закону о воинской обязанности, которые предусматривают рассылку военкоматами повесток в электронном виде. Несмотря на то, что рассылка электронных повесток не должна начаться раньше осеннего призыва 2023 года, когда Минцифры РФ обещало запустить единый реестр военнообязанных, злоумышленники не стали ждать и уже в мае решили разыграть этот сценарий — запустили масштабную фейковую кампанию якобы от имени Министерства обороны РФ.

Первое подозрительное письмо из этой масштабной рассылки было зафиксировано системой Business Email Protection ночью 10 мая, в 01:28. Письмо было отправлено якобы от имени Главного управления Военного комиссариата МО РФ с поддельного адреса электронной почты mail@voenkomat-mil[.]ru. Аудиторию своей рассылки злоумышленники выбрали безошибочно: именно сотрудники HR-департаментов, секретари и делопроизводители находятся в группе риска — им чаще других направляют (а они открывают!) фишинговые письма. В перехваченных письмах говорилось, что сотрудники должны уже на следующий день, к 8.00 явиться в военный комиссариат для уточнения данных. Оригинал электронной повестки (мобилизационного предписания) находился якобы в приложении к письму — в zip-архиве с именами примерно такого вида: "Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip" и exe-файлом.

Учитывая, что рассылка была выполнена на высоком техническом уровне, умело играла на чувствах и попадала в нужную «целевую аудиторию», жертв среди получателей могло быть много. Но там, где даже наметанный человеческий глаз сомневается, поддельное письмо или нет, автоматика не должна подвести. И не подвела.

«Повестки» не дошли до адресата: хроника одной провалившейся кибератаки. Рис. 1

Скриншот одного из фейковых писем из масштабной рассылки от 10 мая

На автоматический анализ и полноценную детонацию (принудительное контролируемое выполнение вредоносного кода) писем в системе Business Email Protection ушло не более 2-3 минут, При этом все файлы были определены как вредоносные с высокой долей вероятности - 85% и более.

Все опасные письма были заблокированы, а для недоверчивых (ну или сомневающихся) система на дашборде демонстрировала, по каким правилам электронные письма определяются как вредоносные, и классифицировала угрозы согласно матрице MITRE ATT&CK. Решение отслеживает индикаторы компрометации, выявляет поведенческие маркеры вредоносной активности и извлекает артефакты для определения опасных писем прежде, чем они будут доставлены получателю.

«Повестки» не дошли до адресата: хроника одной провалившейся кибератаки. Рис. 2

Скриншот экрана с автоматическим анализом вредоносной рассылки с DarkWatchman RAT в Business Email Protection

«Повестки» не дошли до адресата: хроника одной провалившейся кибератаки. Рис. 3

Скриншот экрана с автоматическим анализом вредоносной рассылки с DarkWatchman RAT в Business Email Protection

В 11:27, то есть спустя 10 часов после начала атаки, BEP перехватила последнее письмо — всего их было заблокировано системой не менее 600. Клиенты компании получили в дашборде системы и по электронной почте предупреждения о вредоносной рассылке и рекомендации по дальнейшим действиям. В 16:01 появились первые результаты исследования в блоге на "Хабре" (с индикаторами компрометации — IOCs), параллельно новости о кибератаке появились в российских СМИ и Telegram-каналах .

Чудеса атрибуции: разоблачение Hive0117

«Один из самых главных вопросов, который часто задают нашим криминалистам во время реагирований на инциденты, — кто именно стоит за атакой, — рассказывает Валерий Баулин, генеральный директор компании F.A.C.C.T. — Решение BEP позволяет не только предотвратить заражение через корпоративную почту, но и идентифицировать злоумышленников, атакующих вашу организацию с помощью вредоносных писем и противодействовать им с помощью динамического и статического анализа, а также автоматической атрибуции при помощи данных Threat Intelligence о техниках, тактиках и процедурах (TTP) атакующих».

При автоматическом анализе exe-файлы из рассылки с повестками были атрибутированы как троян удаленного доступа DarkWatchman RAT. Он написан на языке JavaScript и распространяется в паре с .NET кейлоггером. Отличительной чертой данной “парочки” является широкое применение LotL (от англ. Living-of-the-Land, «питаться подножным кормом»). В качестве “подножного корма” применяются популярные компоненты Windows, такие как оболочка PowerShell и WMI (Windows Management Instrumentation) — интерфейс для доступа к различным компонентам операционной системы Windows. Использование злоумышленниками легитимных инструментов усложняет расследование и атрибуцию кибератак. Однако не для системы F.A.C.C.T. Threat Intelligence (киберразведка).

TI выдала подробный профайлинг на ВПО-«антигероя»: основными целями прежних кампаний с применением Darkwatchman были коммерческие организации из СНГ, а рассылался троян с разведывательными целями для сбора информации о потенциальных жертвах. И самое интересное — уже в день атаки эксперты вышли на подозреваемого. Ранее DarkWatchman RAT был замечен в кампаниях финансово-мотивированной группы Hive0117, созданной в феврале 2022 года. Специалисты уже фиксировали рассылки от этой группы, замаскированные под официальные сообщения Федеральной службы судебных приставов при правительстве России. Электронные письма на русском языке были адресованы пользователям, работающим в секторах телекоммуникаций, электроники и ИТ-промышленности в Литве, Эстонии и России.

«Жертвами масштабной атаки с рассылкой лжеповесток 10 мая могли быть банки, ИТ-компании, промышленные предприятия, компании малого и среднего бизнеса и другие структуры, однако масштабная рассылка была остановлена и не затронула важных бизнес-процессов. Это произошло благодаря внедренной у клиентов системы Business Email Protection», — отмечает Валерий Баулин, генеральный директор компании F.A.C.C.T.

Остается только добавить, что BEP может быть развернута как на локальной ИТ-инфраструктуре заказчика, так и в облаке по SaaS-модели. Кроме вредоносных вложений (свыше 290 форматов файлов), система автоматически обнаруживает и блокирует спам, фишинг, а также отражает BEC-атаки (компрометация деловой почты) и множество других актуальных киберугроз.  

Читайте также
IT-World разбирался, почему монолитные корпоративные системы — это бомба замедленного действия и как избежать ошибок при проектировании.

Опубликовано 31.05.2023

Похожие статьи