Специалисты «Ростелеком-Солар» обнаружили ранее неизвестную хакерскую группировку TinyScouts. Отчет компании гласит, что группа использует сложную схему атак и уникальное вредоносное ПО для атак на банки и энергетические компании.
Исследователи пишут, что на первом этапе атаки хакеры рассылают сотрудникам целевых организаций фишинговые письма, в которых получателя предупреждают о начале второй волны пандемии коронавируса, а для получения дополнительной информации предлагают пройти по ссылке. Встречаются также варианты фишинговых писем, имеющие четкий таргетинг: сообщение напрямую относится к деятельности целевой организации и выглядит вполне убедительно, однако тоже содержит вредоносную ссылку.
Кликнув по такой ссылке, жертва запускает загрузку основного компонента малвари, которая происходит в несколько этапов. При этом злоумышленники действуют максимально медленно и осторожно, поскольку каждый шаг в отдельности не привлекает внимания служб безопасности и систем защиты. Загрузка происходит через Tor, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников.
На следующем этапе атаки малварь собирает информацию о зараженном компьютере и передает ее свои операторам. Если данный узел инфраструктуры не представляет для хакеров интереса, то на него загружается дополнительный модуль – вымогатель, шифрующий всю информацию на устройстве и требующий выкуп за расшифровку данных.
Отмечается, что в ходе атаки используется и легитимное ПО, в частности, принадлежащее компании Nirsoft. Перед тем, как данные на компьютере будут зашифрованы, оно собирает пароли пользователя из браузеров и почтовых клиентов, не оставляя заметных следов активности, поскольку не требует установки и не формирует записей в реестре.
Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, на машину загружается дополнительная малварь, защищенная несколькими слоями обфускации и шифрования. Этот вредонос обеспечивает атакующим удаленный доступ и полный контроль над зараженной системой. Примечательно, что малварь написана на PowerShell – это один из крайне редких случаев, когда этот язык не просто используется злоумышленниками в ходе атаки, а является инструментом для создания полноценного вредоносного ПО такого класса. Данный сценарий атаки предоставляет преступникам широкий спектр вариантов монетизации: вывод финансовых средств, хищение конфиденциальных данных, шпионаж и так далее.
Окончательное решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит зараженная машина. По мнению исследователей, это косвенно свидетельствует о планируемых масштабах активности TinyScouts и технической готовности к ряду одновременных атак на крупные организации.
«TinyScouts используют такое вредоносное ПО и такие методы его доставки, упоминание о которых мы не нашли в открытых источниках, а значит можно сделать предположение о том, что это работа новой группировки. Этот факт вкупе с количеством уловок, направленных на то, чтобы остаться незамеченными, и индивидуальность сценария атаки для каждой конкретной жертвы говорит о том, что это не просто еще одна команда, организующая нецелевые массовые атаки. По нашим оценкам, технические навыки TinyScouts совершенно точно не ниже, чем у группировки, стоящей, например, за атаками Silence, а в технических аспектах доставки ПО на машину жертвы TinyScouts даже превосходят их, хотя и уступают APT-группировкам и правительственным кибервойскам», – отметил Игорь Залевский, руководитель отдела расследования инцидентов, Solar JSOC.