Если у вас есть вопрос по услуге или задача в рамках направления, напишите нам. Наши специалисты проведут консультацию, помогут найти оптимальное решение вашей проблемы.
1. Как работает таргетированный фишинг?
2. Дата и вектор фишинговой атаки
4. Особенности данной версии фишинга
6. Рекомендации по борьбе с фишингом
7. Заключение
Как работает таргетированный фишинг?
С каждым днём действия киберпреступников становятся всё более изощрёнными и опасными. Один из наиболее распространённых и опасных механизмов атак - фишинг. Путём маскировки под надёжные источники хакеры воруют конфиденциальную информацию, получают доступ к корпоративным ресурсам, внедряют вирусы и другое нелегитимное ПО.
Фишинговые атаки могут быть нацелены на отдельных сотрудников или организацию в целом. Одним из наиболее эффективных способов проведения фишинговых атак является таргетированный фишинг, который предполагает предварительное изучение целей атаки.
Таргетированный фишинг использует различные методы для определения потенциальных жертв. Это может быть анализ информации из открытых источников, использование социальной инженерии или даже сбор данных из внутренних систем компании. Злоумышленники продумывают убедительную легенду и провоцируют жертв на определенные действия. Одним из распространённых методов таргетированного фишинга является отправка фишинговых писем, которые имитируют официальные сообщения от бизнес-партнеров или подрядчиков компании-мишени. Эти письма могут содержать ссылки на поддельные веб-сайты или вложения с вредоносным ПО.
Принципы и механику целевого фишинга специалисты Центра противодействия киберугрозам Innostage SOC CyberART разбирают на реальном примере атаки Rogue RDP.
Более подробно этот кейс рассмотрен в авторской колонке эксперта Innostage для ИБ-издания Anti-Malware и статье корпоративного блога на Хабре.
Дата и вектор фишинговой атаки
13 января 2025 года ИТ-компания Innostage зафиксировала таргетированную фишинговую атаку на своих сотрудников. Злоумышленники отправили письма сотрудникам производственного блока с почтового адреса «itsupport@torgservice.spb[.]ru».
Атака базировалась на отправке конфигурационных файлов с расширением «.rdp» и персонифицированных учетных данных с призывом подключиться к внешнему терминальному серверу. В качестве адресанта, возможно, использовался домен компании, приостановившей или прекратившей коммерческую деятельность.
Хакеры использовали «Rogue RDP» – вектор атаки, при котором жертву обманным путем заставляют подключиться к поддельному терминальному серверу, полностью контролируемому злоумышленниками. Ключевой способ распространения - целевые фишинговые рассылки по адресам корпоративной почты.
Расчет был на то, что после длительных новогодних праздников сотрудники технических подразделений Innostage потеряют бдительность и дадут себя поймать на сообщения о предоставлении удаленного доступа к стенду тендерной площадки. Для большей правдоподобности, каждое письмо не только сопровождалось персональным обращением, но и содержало учетные данные для подключения к RDP-серверу злоумышленника, сгенерированные под фамилию и инициалы потенциальной жертвы.
Развитие фишинговой атаки
Шаг 1. Целевой фишинг
В полдень 13 января (первый рабочий понедельник года) сотрудник технического блока получил письмо с почтового адреса «itsupport@torgservice.spb[.]ru» с темой «Доступ к стенду №724-с». В теле письма речь шла о предоставлении доступа к стенду в рамках некоего технического задания, детали и проектная документация по которому якобы станет доступна после подключения. В качестве отправителя был указан Отдел поддержки Минцифры РФ, а завершалось письмо министерским гербом.
К письму было прикреплено вложение «platforma-zakupki.rdp».
Распознав фишинг и следуя принятым в компании правилам ИБ, бдительный сотрудник отправил письмо на проверку специалистам Innostage SOC CyberART.
Киберзащитники установили, что файл «platforma-zakupki.rdp» представлял собой сконфигурированный файл для автоматического подключения по протоколу RDP к целевому терминальному серверу.
Важно отметить, что любой файл с расширением «.rdp» — это всего лишь несколько строк текста, прочитать которые можно используя любой текстовый редактор. Именно поэтому он нередко «просачивается» через автоматизированные СЗИ, и вероятность блокировки его средствами защиты почтового трафика или конечных точек минимальна.
Шаг 2. Инициализация доступа
При запуске «platforma-zakupki.rdp» происходит автоматическое подключение к RDP-серверу «platforma-zakupki[.]ru» с соответствующими настройками (прописаны в «platforma-zakupki.rdp»).
Примечательно, что домен platforma-zakupki[.]ru был зарегистрирован в декабре 2024 года, за несколько недель до целевой атаки.
Настройки подключения включают в себя монтирование локальных и сетевых логических томов хоста, который инициирует подключение с хоста жертвы на целевой терминальный сервер (Rogue RDP). Далее за счёт легитимного функционала протокола RDP включается перенаправление к внешним устройствам, таким как буфер обмена, принтеры, аудиоколонки и т.д.
Шаг 3. Заражение ВПО
Через пару секунд после установления сессии с терминальным сервером происходит автоматический «logoff», однако за это непродолжительное время хост жертвы уже оказывается заражён вредоносом.
В описываемой фишинговой атаке вектора «Rogue RDP» запускалось копирование вредоносного объекта «msedgeupdate.exe» (ВПО мимикрирует под легитимный дистрибутив для обновления стандартного офисного браузера Microsoft Edge) в каталог автозагрузки пользователя через функционал «примонтированного» диска.
Исполняемый файл «msedgeupdate.exe» предположительно был скомпилирован 07.01.2025 и имеет слой обфускации, т.е. был обработан специальной программой — обфускатором, которая привела исходный код к виду, сохраняющему функциональность, но затрудняющему анализ, понимание алгоритмов работы и попытки восстановления до исходного вида. С высокой долей вероятности, для этой цели использовался UPX Packer.
При запуске вредоносный объект «msedgeupdate.exe» осуществляет проверку доступа в Интернет и получает информацию о внешнем IP-адресе хоста жертвы. Для этого вредоносное ПО выполняет HTTP GET-запрос на легитимный сервис «IP-API.COM». Далее идет коммуникация с сервером управления 185.80.91[.]18 (RU) через HTTP POST-запросы форматов init, check и command, предназначенных для инициализации, проверки состояния и выполнения команд соответственно.
Вредоносный объект «msedgeupdate.exe» будет запускаться каждый раз при входе скомпрометированного пользователя в систему за счёт нахождения в каталоге автозагрузки «Startup».Особенности данной версии фишинга
Также было обнаружено, что сервер 185.80.91[.]18 авторизован для почтовой отправки от имени домена «oldwizard[.]uz» (подтверждается наличием соответствующей SPF-записи в настройках DNS домена), что может быть использовано в дальнейших фишинговых атаках.
Домен «torgservice.spb[.]ru», с которого производилась фишинговая рассылка на корпоративную почту сотрудников Innostage, зарегистрирован гораздо раньше – в 2012 году. Однако ни сайт, ни корпоративная почта с таким адресом не были обнаружены.
Более того, фирма ООО «Торгсервис» с регистрацией в Санкт-Петербурге (можно предположить, что именно ей принадлежит доменное имя, указывающее на региональную привязку spb) числится ликвидированной.
Вероятнее всего, злоумышленники решили маскироваться под зомби-компанию, чьи домены всё ещё активны. Это позволяет создать иллюзию, будто письмо исходит от реальной российской организации, давно действующей на рынке, что значительно повышает уровень доверия получателя.
Отправка фишингового письма производилась с почтового сервера с уязвимым прикладным ПО Exchange Server 2013 CU23. Таким образом, хакеры могли воспользоваться уязвимостью легитимного почтового сервера «torgservice.spb[.]ru» для отправки фишинговых писем, маскируясь под официальную корреспонденцию.
Атрибуция фишинговой атаки
При расследовании инцидента выявлены индикаторы компрометации (IOC), переданные в подразделение Центра противодействия киберугрозам CybertART, специализирующееся на разведке киберугроз (Threat Intelligence).
На основе анализа сетевых IOC было сделано предположение, что за атакой стоит хакерская группа Phantom Core, которая специализируется на кибершпионаже, нацеленном на российские компании. Активность «PhantomCore» впервые была обнаружена и описана специалистами компании F.A.C.C.T весной 2024 года. Все известные индикаторы компрометации будут перечисленные в файле, прикрепленном в конце данной статьи.
О новом типе фишинговой атаки и действиях при получении подобных рассылок были оперативно уведомлены все 1500+ сотрудников Innostage. Для предотвращения распространения вредоносной программы в России и других странах, она отправлена на изучение ИБ-вендору, специализирующему на антивирусном ПО.Рекомендации по борьбе с фишингом
Итак, файлы с расширением «.rdp» активно используются хакерами для кибератак через корпоративную почту. Фишинговое письмо с RDP-вложением зачастую не вызывает подозрений средств защиты информации и тем самым избегает автоматической блокировки. В этой связи Центр противодействия киберугрозам Innostage SOC CyberART рекомендует:
1. Установить блокировку на получение электронной корреспонденции с вложениями формата «.rdp»;
2. Заблокировать с помощью межсетевых экранов исходящие RDP-подключения к недоверенным серверам за пределами корпоративной сети;
3. Провести дополнительное внутреннее обучение для повышения оценки осведомлённости сотрудников о фишинговых атаках;
4. Скачать и изучить файл «Индикаторы компрометации», чтобы:
· заблокировать на периметровом межсетевом экране IP-адреса, фишинговые домены и все их поддомены (раздел «Сетевые индикаторы);
· внести в черные списки СЗИ и средств защиты конечных точек хэш-суммы ВПО (раздел «Файловые индикаторы»);
· заблокировать получение электронной корреспонденции от доменов, используемых для целевого фишинга (Раздел «Почтовые индикаторы»).
2. Заблокировать с помощью межсетевых экранов исходящие RDP-подключения к недоверенным серверам за пределами корпоративной сети;
3. Провести дополнительное внутреннее обучение для повышения оценки осведомлённости сотрудников о фишинговых атаках;
4. Скачать и изучить файл «Индикаторы компрометации», чтобы:
· заблокировать на периметровом межсетевом экране IP-адреса, фишинговые домены и все их поддомены (раздел «Сетевые индикаторы);
· внести в черные списки СЗИ и средств защиты конечных точек хэш-суммы ВПО (раздел «Файловые индикаторы»);
· заблокировать получение электронной корреспонденции от доменов, используемых для целевого фишинга (Раздел «Почтовые индикаторы»).
Заключение
Фишинг – один из главных векторов атак на корпоративную ИТ-инфраструктуру, и, к сожалению, «серебряной пули» против него до сих пор не изобретено.
Если говорить о ИТ-ландшафте в целом, а не ИТ и ИБ-компаниях, то человеческий фактор (в том числе подверженность приёмам социальной инженерии и фишинга) остаётся самой уязвимой частью киберзащиты корпоративной инфраструктуры по ряду причин:
· Недостаточная осведомлённость: многие сотрудники не знают о рисках фишинговых атак и о том, как их избежать.
· Доверие к отправителю: люди часто доверяют официальным сообщениям и не проверяют их подлинность.
· Нежелание тратить время: некоторые сотрудники могут быть склонны к быстрому открытию подозрительных писем, не задумываясь о возможных последствиях.
· Отсутствие обучения: многие компании не проводят регулярное обучение сотрудников по вопросам кибербезопасности.
· Эмоциональный фактор: люди могут быть подвержены эмоциональному воздействию, такому как страх пропустить важную информацию или желание получить выгоду.
· Доверие к отправителю: люди часто доверяют официальным сообщениям и не проверяют их подлинность.
· Нежелание тратить время: некоторые сотрудники могут быть склонны к быстрому открытию подозрительных писем, не задумываясь о возможных последствиях.
· Отсутствие обучения: многие компании не проводят регулярное обучение сотрудников по вопросам кибербезопасности.
· Эмоциональный фактор: люди могут быть подвержены эмоциональному воздействию, такому как страх пропустить важную информацию или желание получить выгоду.
Приёмы и техническое «сопровождение» фишинга постоянно совершенствуются, поэтому современных средств защиты информации зачастую недостаточно, чтобы оперативно выявить и локализовать потенциальную угрозу.
Специалисты Центра противодействия киберугрозам Innostage SOC CyberART напоминают о важности комплекса мер по обеспечению безопасности и киберустойчивости компании, включающем:
· современные технические решения, такие как почтовые шлюзы, которые обеспечивают контентную и спам фильтрацию почтовых сообщений, а также анализ вложений по сигнатурным базам;
· средства анализа неизвестных угроз, такие как потоковые песочницы;
· сервисное сопровождение команды Threat Intelligence, которая проактивно может уведомить о потенциальном векторе атаки и вредоносный домен будет заблокирован заблаговременно;
· наличие в штате или на аутсорсинге опытной команды мониторинга и реагирования на инциденты ИБ, которая в кратчайшие сроки может верифицировать угрозу, выполнить анализ и атрибуцировать связанные индикаторы компрометации для последующего активного реагирования.
· средства анализа неизвестных угроз, такие как потоковые песочницы;
· сервисное сопровождение команды Threat Intelligence, которая проактивно может уведомить о потенциальном векторе атаки и вредоносный домен будет заблокирован заблаговременно;
· наличие в штате или на аутсорсинге опытной команды мониторинга и реагирования на инциденты ИБ, которая в кратчайшие сроки может верифицировать угрозу, выполнить анализ и атрибуцировать связанные индикаторы компрометации для последующего активного реагирования.
И, конечно же, крайне важна осведомлённость в области обеспечения информационной безопасности и высокий уровень цифровой гигиены у сотрудников: необходимо регулярно проводить образовательные мероприятия, учить персонал проверять подлинность писем и веб-сайтов, а также организовывать тестовые рассылки фишинга для проверки усвоенных знаний.
Подборную консультацию по аудиту ИТ и ИБ-инфраструктуры, повышению квалификации ИБ-специалистов в формате учений на киберполигоне, минимизации риска возникновения критичных инцидентов и недопустимых событий можно получить при обращении в Innostage SOC CyberART.
Центр противодействия киберугрозам Innostage CyberART специализируется на SOC-сервисном сопровождении лидеров экономики России и государственных предприятий, имеющих высочайшие требования к уровню информационной безопасности. Является аккредитованным центром ГосСОПКА.
Автор:
Гузель Хисматуллина,
руководитель группы внутреннего мониторинга Innostage SOC CyberART
