Киберпреступники впервые используют российские программы удаленного доступа для целевых атак
Эксперты управления киберразведки BI.ZONE зафиксировали атаки новой группировки Quartz Wolf на гостиничный бизнес. Против российских компаний впервые используется отечественное решение для удаленного доступа.
Таким образом преступники обходят традиционные средства защиты и успешно закрепляются в инфраструктуре бизнеса.
Злоумышленники часто применяют иностранные инструменты удаленного доступа, чтобы закрепиться в инфраструктуре взломанной компании. Наиболее популярные программы для этого — TeamViewer, AnyDesk и AmmyAdmin. Ими же часто пользовались сами компании для различных бизнес-целей, поэтому службы безопасности не могли блокировать такие программы. Однако сейчас многие российские организации переходят на отечественное ПО, поэтому стало возможным блокировать зарубежный софт, который могут использовать злоумышленники. Группировка Quartz Wolf адаптировала атаки: чтобы обойти традиционные средства защиты, она использует отечественные решения для удаленного доступа. Это повышает шансы атакующих оставаться незамеченными в инфраструктуре.
Злоумышленники рассылают фишинговые электронные письма от лица компании «Федеральный Гостиничный Сервис», которая помогает передавать сведения о регистрации и данных для миграционного учета в МВД. В сообщениях атакующие якобы уведомляют о вступивших в силу изменениях в процедуре регистрации, с которыми необходимо срочно ознакомиться по приложенной ссылке. Пользователь скачивает архив, открывает его и, сам того не зная, запускает вредоносный файл. При этом устанавливается российское решение для удаленного доступа «АССИСТЕНТ» — ПО, которое в собственных бизнес-целях используют различные компании.
Удаленный доступ позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows и т. п. Это открывает широкие возможности злоумышленникам: от кражи учетных данных для входа в бизнес-системы и передачи данных клиентов на сторонний сервер до совершения операций в банковском ПО от имени жертвы.
Олег Скулкин, руководитель управления киберразведки BI.ZONE:
«Использование легитимных средств позволяет атакующим оставаться незамеченными в скомпрометированной сети продолжительное время, особенно если такое ПО уже используется организацией. На примере Quartz Wolf мы видим, что злоумышленники следят за трендами импортозамещения. Они меняют методы, чтобы их действия по-прежнему выглядели как активность обычных пользователей».
Фишинговые рассылки остаются одним из главных методов получения первоначального доступа во время целевых атак. Чтобы защититься от них, эксперты BI.ZONE рекомендуют пользоваться специализированными решениями, которые блокируют спам и вредоносные письма. Эффективно реагировать на новые угрозы помогут сервисы непрерывного мониторинга IT-инфраструктуры. Они позволяют оперативно распознать продвинутые атаки и нейтрализовать угрозы.