Пандемия COVID-19 привела к пандемии кибератак: аналитическая записка
Знахарев Дмитрий,
руководитель направления
систем мониторинга и анализа событий ИБ

Введение

Начиная с января 2020 года тема нового коронавируса «COVID-19» привлекает внимание всех мировых СМИ. Разумеется, данная тема начала пользоваться успехом и у злоумышленников для запуска фишинговых кампаний, используемых для распространения вредоносного ПО среди ничего не подозревающих пользователей. По данным компании «ANOMALI», уже на конец марта 2020 года было обнаружено более 6000 индикаторов компрометации (IOC) и 15 различные кампаний, связанных с 11 хакерскими группировками, которые в свою очередь, распространяли около 39 семейств вредоносного ПО и использовали 80 различных техник по матрице MITRE ATT&CK.
С чего все началось?
Первое сообщение о вредоносной активности, связанной с темой COVID-19, появилось в течение нескольких недель после новостей об обнаружении ранее неизвестного вируса COVID-19 в китайском городе Ухань в декабре 2019 года. В течение трех последующих месяцев компания «ANOMALI» зафиксировала резкий рост распространения вредоносного ПО, связанного с темой COVID-19, которое распространяли злоумышленники (в основном через фишинг).
Техники кибератак MITRE Enterprise ATT&CK, связанные с темой COVID-19
Семейство вредоносного ПО, связанного с COVID-19

Примеры кибератак, связанных с темой COVID-19

Январь 2020

Эксплойт TA542 (MUMMY SPIDER, Mealybug), созданный хакерской группировкой Emotet (S0367). Данный эксплойт распространяется посредством электронной почты, маскируясь под официальные письма от различных социальных организаций и организаций здравоохранения. Содержание этих писем предупреждало получателей о быстром распространении вируса, и предлагало загрузить вложение с описанием профилактических мер по борьбе с коронавирусом. После открытия пользователем вложения, на его компьютер загружалось вредоносное ПО (ВПО), которое, в свою очередь, могло дополнительно установить программу-вымогатель или программу для кражи учетных данных, истории браузера и конфиденциальных документов. Затем собранные злоумышленниками данные, использовались для рассылки аналогичных писем другим получателям из адресной книги пользователя, повышая скорость распространения ВПО.

Используемые техники MITRE ATT&CK: Spearphishing Attachment (T1193) | PowerShell (T1086) | Scripting (T1064) | Registry Run Keys / Startup Folder (T1060) | NTFS File Attributes (T1096) | Deobfuscate/Decode Files or Information (T1140) | Obfuscated Files or Information (T1027) | Modify Registry (T1112) | System Network Configuration Discovery (T1016) | Process Discovery (T1057) | Rэemote File Copy (T1105) | Standard Application Layer Protocol (T1071)

Февраль 2020

В начале и середине февраля 2020 года были обнаружены еще две фишинговые кампании, которые распространяли троянов удаленного доступа (RAT) - Nanocore (S0336) и Parallax. Эти RAT предоставляют злоумышленникам удаленный доступ для сбора информации о различных действиях пользователя (нажатые клавиши, конфиденциальные файлы, запись с веб-камер), а также для загрузки и выполнения ВПО на компьютере жертвы.

Используемые техники MITRE ATT&CK: Spearphishing Attachment (T1193) | Scheduled Task (T1053) | Registry Run Keys / Startup Folder (T1060) | Virtualization/Sandbox Evasion (T1497) | Hidden Window (T1143) | Software Packing (T1045) | System Time Discovery (T1124) | System Network Connections Discovery (T1049) | Standard Application Layer Protocol (T1071) | Uncommonly Used Port (T1065) | Graphical User Interface (T1061) | Hidden Files and Directories (T1158) | Process Injection (T1055) | Masquerading (T1036) | Disabling Security Tools (T1089) | Obfuscated Files or Information (T1027) | DLL Side-Loading (T1073) | Input Capture (T1056) | Process Discovery (T1057) | Application Window Discovery (T1010) | Security Software Discovery (T1063) | Remote System Discovery (T1018) | Data Encrypted (T1022) | Standard Cryptographic Protocol (T1032) | Remote Access Tools (T1219) | Standard Non-Application Layer Protocol (T1095)

Также в середине февраля 2020 года началась еще одна фишинговая кампания (T1193), которая распространяла трояна AZORult (S0344). В это же время, другая, вероятно связанная с AZORult, кампания усилила распространение фековых новостей о COVID-19 и теории заговора, якобы связанных со всемирной организацией здравоохранения (ВОЗ), Центром США по контролю и профилактике заболеваний (CDC):
Пример фишингового письма
Используемые техники MITRE ATT&CK: Spearphishing Attachment (T1193). С подробным описанием данных атак можно ознакомиться здесь.

Позднее, в этом же месяце, появились фишинговые письма по теме COVID-19 с вложенным файлом (Т1193) Коронавірусна інфекція КОВИД-19.rar от имени Министерства Здравоохранения Украины, которые также использовались для доставки вредоносной программы. Предположительно данные письма связаны с преступной группировкой «Hades APT» или «TEMP.Armageddon».

Используемые техники MITRE ATT&CK: Spearphishing Attachment (T1193) | Command-Line Interface (T1059) | Query Registry (T1012) | System Information Discovery (T1082) | Dynamic Data Exchange (T1173) | Obfuscated Files or Information (T1027) | Scripting (T1064) | Process Injection (T1055) | Extra Window Memory Injection (T1181) | Modify Registry (T1112)

27 февраля была раскрыта группировка «Mustang Panda» из Китая, которая, скорее всего, была нацелена на тайваньских пользователей. Злоумышленники использовали исполняемые файлы tencentsoso.exe для последующей загрузки (DLL -T1073) и доставки (Cobalt Strike - S0154) вредоносного ПО. Дополнительную информацию о деятельности группировки «Mustang Panda», можно найти здесь.

Используемые техники MITRE ATT&CK: Spearphishing Attachment (T1193) | DLL side-loading (T1073) | Template Injection (T1221) | Dynamic Data Exchange (T1173) | Remote File Copy (T1105) | Commonly Used Port (T1043) | Exploitation for Client Execution (T1203)

Март 2020

В начале марта компания CheckPoint сообщила, что связанные с темой COVID-19, домены с вероятностью 50% и более относятся к мошенническим. Что говорит о растущей угрозе фишинговых атак со стороны доменов COVID-19. В тот же период времени компания Proofpoint опубликовала сообщение, что бренд Folding@home - проект о распределенных вычислениях в области исследований заболеваний, был использован в рамках фишинговой кампании (T1192), в ходе которой началось распространение нового семейства вредоносных программ RedLine Stealer. На криминальных форумах данное ВПО доступно по цене всего $100. Данное ВПО перехватывает логины, формы автозаполнения, пароли и информацию о кредитных картах в браузере пользователя.

Используемые техники MITRE ATT&CK: Spearphishing Link (T1192) | Command-Line Interface (T1059) | Execution through API (T1106) | Install Root Certificate (T1130) | Modify Registry (T1112) | Credentials in Files (T1081) | Credential Dumping (T1003) | Query Registry (T1012) | System Information Discovery (T1082) | Email Collection (T1114) | Uncommonly Used Port (T1065)

В середине марта в сети Интернет были обнаружены копии веб-сайтов, имитирующих карту распространения коронавируса Университета Джона Хопкинса. Эти копии предлагают пользователям загрузить и запустить приложение, чтобы оставаться в курсе последних новостей. Однако, после установки данного приложения, компьютеры пользователей заражались вредоносной программой AZOrult, которая использовалась для кражи личной и конфиденциальной информации (пароли и данные кредитных карт). Помимо этого, данная программа может быть использована злоумышленниками для установки дополнительных вредоносных программ и создания backdoor, чтобы получить полный контроль над системой. Также в середине марта, компания «ANOMALI» выявила вредоносный файл «.lnk», процесс атаки включал в себя доставку PDF-файла от имени ВОЗ, который включал в себя вредоносное ПО PlugX.

Используемые техники MITRE ATT&CK: Drive-by Compromise (T1189) | Command-Line Interface (T1059) | Execution through API (T1106) | Scheduled Task (T1053) | Hidden Files and Directories (T1158) | File Permissions Modification (T1222) | Install Root Certificate (T1130) | Credentials in Files (T1081) | Credential Dumping (T1003) | Query Registry (T1012) | Email Collection (T1114)

Наконец, 16 марта компания ESET, сообщила о том, что в течение семи часов путем рассылки электронных писем с темой COVID-19 на компьютеры пользователей было доставлено около 2500 экземпляров ВПО, данная активность была замечена в Испании, Португалии, Чехии, Малайзии и Германии.

Используемые техники MITRE ATT&CK: Techniques: Spearphishing Attachment (T1193) | Spearphishing Link (T1192) | Execution through Module Load (T1129) | Query Registry (T1012)

Выводы и рекомендации

К сожалению, на этом рост количества таких атак не остановился – с каждым днем мы наблюдаем все новые примеры кибератак, а их техники усложняются. Учитывая всплеск злонамеренной активности, связанной с COVID-19, в сочетании с усилиями правительств и организаций по обеспечению социального дистанцирования и удаленной работы, угроза фишинговых кампаний, связанных с COVID-19 будет продолжать расти дальше. Для противодействия данным угрозам необходимо придерживаться довольно стандартных рекомендаций:

  • Будьте внимательны и осторожны при получении писем или SMS по теме COVID-19 от не доверенных пользователей или организаций, выдающих себя за правительственные.
  • При получении таких писем не открывайте вложенные файлы и не переходите по ссылкам в письме, особенно когда отправитель просит вас посетить какой-нибудь сайт, запрашивая личную информацию или другую конфиденциальную информацию. Лучше всего перейти на легальный веб-сайт, введя его адрес в веб-браузере.
  • Всегда проверяйте адрес веб-сайта, чтобы убедиться, что он легитимный. Не верьте слепо тому, что замок, расположенный в левом верхнем углу адресной строки браузера, означает, что он является легитимным, это всего лишь означает то, что обмен информацией между сайтом и вашим компьютером зашифрован.
  • Устанавливайте последние обновления безопасности для операционных систем и приложений.
  • Используйте антивирусное ПО и межсетевые экраны, а также удостоверьтесь, что они получают последние обновления.
  • Проводите постоянное обучение пользователей по вопросам безопасности, чтобы сотрудники знали, как выявить подозрительную активность и сообщить о ней.
  • Будьте в курсе последних событий, связанных с угрозами кибербезопасности, подписавшись на еженедельные бюллетени или другие статьи и блоги, посвященные новостям кибербезопасности.
Дополнительно, службам информационной безопасности компаний, мы рекомендуем использовать в своем арсенале платформы киберразведки (Threat Intelligence Platform), которые помогут быстрее узнавать и понимать векторы атак хакеров. Это позволит существенно улучшить качество службы информационной безопасности в компании. Тем более, что на данный момент многие коммерческие поставщики данных киберразведки, предоставили бесплатный доступ к индикаторам компрометации (IOC), связанных с пандемией COVID-19, как например, здесь. Полученную информацию о киберугрозах, организация может использовать в стеках безопасности для оперативной упреждающей блокировки и оповещения об угрозах. Средства защиты информации, которые могут быть усилены этими данными, включают такие системы как - SIEM, EDR, межсетевые экраны, DNS-серверы, платформы SOAR и многие другие СЗИ.

Пандемия COVID-19 это непростое время для всех специалистов по кибербезопасности, которые и так постоянно сталкиваются с различными рисками, и платформы киберразведки (Threat Intelligence Platform) могут помочь организациям достойно противостоять новым угрозам, в том числе связанных с COVID-19.
ПОДЕЛИТЬСЯ В СОЦСЕТЯХ