BI.ZONE: хакеры отказываются от вредоносных программ в пользу редких инструментов для пентеста

В последние несколько месяцев кибергруппировки стали чаще использовать фреймворк Havoc. Этот инструмент применяется реже аналогичных, и поэтому его сложнее выявить современными средствами защиты информации. По данным компании BI.ZONE, 12% всех кибератак злоумышленники совершают с применением инструментов, изначально предназначенных для тестирования на проникновение. Решения для пентеста и red team хакеры стали включать в арсенал ещё со второй половины 2010 годов, однако в последнее время преступники стремятся заменить популярные инструменты на менее известные.

В последние несколько месяцев выросла популярность Havoc — фреймворка для постэксплуатации с открытым исходным кодом. Изначально этот инструмент предназначен для того, чтобы получить доступ к системе в рамках пентеста и установить над ней контроль.

Руководитель BI.ZONE Threat Intelligence Олег Скулкин рассказал о нескольких кампаниях, в ходе которых злоумышленники применяли менее распространённый фреймворк Havoc, чтобы получить удалённый доступ к компьютерам жертв. Havoc принципиально не отличаются от других фреймворков. Этот инструмент менее популярен, чем другие, а потому его сложнее обнаружить средствами защиты. В этом и заключается его ключевое преимущество для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а такие группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше. Для распространения вредоносной нагрузки фреймворка злоумышленники использовали фишинг.

В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив, в котором содержался lnk‑файл. Если пользователь открывал этот ярлык, на его компьютер загружался отвлекающий документ — выписка из амбулаторной карты пациента, а также устанавливался загрузчик — программа, которая затем внедряла в устройство жертвы агент фреймворка Havoc. После этого злоумышленники получали доступ к скомпрометированной системе и могли удалённо выполнять в ней команды и выгружать данные.

В другой кампании преступники рассылали фишинговые письма от лица одной из силовых структур. Пользователя уведомляли о том, что он якобы подозревается в совершении серьёзного преступления, и просили предоставить документы, список которых предлагали скачать по ссылке в теле письма. На самом деле при переходе по ссылке на компьютер жертвы, как и в предыдущем случае, устанавливался загрузчик, а вслед за этим — агент.

Фишинговые рассылки по‑прежнему остаются у киберпреступников одним из самых популярных способов получения первичного доступа. Причина в их низкой себестоимости, широте покрытия и высокой эффективности. Чтобы защитить корпоративную почту от фишинговых рассылок, но при этом не задерживать доставку легитимной почты, используются сервисы для фильтрации нежелательных писем.

Материал опубликован при поддержке сайта habr.com
Комментарии

    Актуальные новости по теме "Array"