С чего все началось?
Первое сообщение о вредоносной активности, связанной с темой COVID-19, появилось в течение нескольких недель после новостей об обнаружении ранее неизвестного вируса COVID-19 в китайском городе Ухань в декабре 2019 года. В течение трех последующих месяцев компания «ANOMALI» зафиксировала резкий рост распространения вредоносного ПО, связанного с темой COVID-19, которое распространяли злоумышленники (в основном через фишинг).
Техники кибератак MITRE Enterprise ATT&CK, связанные с темой COVID-19
Семейство вредоносного ПО, связанного с COVID-19
Примеры кибератак, связанных с темой COVID-19
Январь 2020
Эксплойт TA542 (MUMMY SPIDER, Mealybug), созданный хакерской группировкой Emotet (S0367). Данный эксплойт распространяется посредством электронной почты, маскируясь под официальные письма от различных социальных организаций и организаций здравоохранения. Содержание этих писем предупреждало получателей о быстром распространении вируса, и предлагало загрузить вложение с описанием профилактических мер по борьбе с коронавирусом. После открытия пользователем вложения, на его компьютер загружалось вредоносное ПО (ВПО), которое, в свою очередь, могло дополнительно установить программу-вымогатель или программу для кражи учетных данных, истории браузера и конфиденциальных документов. Затем собранные злоумышленниками данные, использовались для рассылки аналогичных писем другим получателям из адресной книги пользователя, повышая скорость распространения ВПО.
Используемые техники MITRE ATT&CK: Spearphishing Attachment (T1193) | PowerShell (T1086) | Scripting (T1064) | Registry Run Keys / Startup Folder (T1060) | NTFS File Attributes (T1096) | Deobfuscate/Decode Files or Information (T1140) | Obfuscated Files or Information (T1027) | Modify Registry (T1112) | System Network Configuration Discovery (T1016) | Process Discovery (T1057) | Rэemote File Copy (T1105) | Standard Application Layer Protocol (T1071)
Февраль 2020
В начале и середине февраля 2020 года были обнаружены еще две фишинговые кампании, которые распространяли троянов удаленного доступа (RAT) - Nanocore (S0336) и Parallax. Эти RAT предоставляют злоумышленникам удаленный доступ для сбора информации о различных действиях пользователя (нажатые клавиши, конфиденциальные файлы, запись с веб-камер), а также для загрузки и выполнения ВПО на компьютере жертвы.
Используемые техники MITRE ATT&CK: Spearphishing Attachment (T1193) | Scheduled Task (T1053) | Registry Run Keys / Startup Folder (T1060) | Virtualization/Sandbox Evasion (T1497) | Hidden Window (T1143) | Software Packing (T1045) | System Time Discovery (T1124) | System Network Connections Discovery (T1049) | Standard Application Layer Protocol (T1071) | Uncommonly Used Port (T1065) | Graphical User Interface (T1061) | Hidden Files and Directories (T1158) | Process Injection (T1055) | Masquerading (T1036) | Disabling Security Tools (T1089) | Obfuscated Files or Information (T1027) | DLL Side-Loading (T1073) | Input Capture (T1056) | Process Discovery (T1057) | Application Window Discovery (T1010) | Security Software Discovery (T1063) | Remote System Discovery (T1018) | Data Encrypted (T1022) | Standard Cryptographic Protocol (T1032) | Remote Access Tools (T1219) | Standard Non-Application Layer Protocol (T1095)
Также в середине февраля 2020 года началась еще одна фишинговая кампания (T1193), которая распространяла трояна AZORult (S0344). В это же время, другая, вероятно связанная с AZORult, кампания усилила распространение фековых новостей о COVID-19 и теории заговора, якобы связанных со всемирной организацией здравоохранения (ВОЗ), Центром США по контролю и профилактике заболеваний (CDC):
Пример фишингового письма
Используемые техники MITRE ATT&CK: Spearphishing Attachment (T1193). С подробным описанием данных атак можно ознакомиться здесь.
Позднее, в этом же месяце, появились фишинговые письма по теме COVID-19 с вложенным файлом (Т1193) Коронавірусна інфекція КОВИД-19.rar от имени Министерства Здравоохранения Украины, которые также использовались для доставки вредоносной программы. Предположительно данные письма связаны с преступной группировкой «Hades APT» или «TEMP.Armageddon».
Используемые техники MITRE ATT&CK: Spearphishing Attachment (T1193) | Command-Line Interface (T1059) | Query Registry (T1012) | System Information Discovery (T1082) | Dynamic Data Exchange (T1173) | Obfuscated Files or Information (T1027) | Scripting (T1064) | Process Injection (T1055) | Extra Window Memory Injection (T1181) | Modify Registry (T1112)
27 февраля была раскрыта группировка «Mustang Panda» из Китая, которая, скорее всего, была нацелена на тайваньских пользователей. Злоумышленники использовали исполняемые файлы tencentsoso.exe для последующей загрузки (DLL -T1073) и доставки (Cobalt Strike - S0154) вредоносного ПО.
Используемые техники MITRE ATT&CK: Spearphishing Attachment (T1193) | DLL side-loading (T1073) | Template Injection (T1221) | Dynamic Data Exchange (T1173) | Remote File Copy (T1105) | Commonly Used Port (T1043) | Exploitation for Client Execution (T1203)
Март 2020
В начале марта компания CheckPoint сообщила, что связанные с темой COVID-19, домены с вероятностью 50% и более относятся к мошенническим. Что говорит о растущей угрозе фишинговых атак со стороны доменов COVID-19. В тот же период времени компания Proofpoint опубликовала сообщение, что бренд Folding@home - проект о распределенных вычислениях в области исследований заболеваний, был использован в рамках фишинговой кампании (T1192), в ходе которой началось распространение нового семейства вредоносных программ RedLine Stealer На криминальных форумах данное ВПО доступно по цене всего $100. Данное ВПО перехватывает логины, формы автозаполнения, пароли и информацию о кредитных картах в браузере пользователя.
Используемые техники MITRE ATT&CK: Spearphishing Link (T1192) | Command-Line Interface (T1059) | Execution through API (T1106) | Install Root Certificate (T1130) | Modify Registry (T1112) | Credentials in Files (T1081) | Credential Dumping (T1003) | Query Registry (T1012) | System Information Discovery (T1082) | Email Collection (T1114) | Uncommonly Used Port (T1065)
В середине марта в сети Интернет были обнаружены копии веб-сайтов, имитирующих карту распространения коронавируса Университета Джона Хопкинса. Эти копии предлагают пользователям загрузить и запустить приложение, чтобы оставаться в курсе последних новостей. Однако, после установки данного приложения, компьютеры пользователей заражались вредоносной программой AZOrult, которая использовалась для кражи личной и конфиденциальной информации (пароли и данные кредитных карт). Помимо этого, данная программа может быть использована злоумышленниками для установки дополнительных вредоносных программ и создания backdoor, чтобы получить полный контроль над системой. Также в середине марта, компания «ANOMALI» выявила вредоносный файл «.lnk», процесс атаки включал в себя доставку PDF-файла от имени ВОЗ, который включал в себя вредоносное ПО PlugX.
Используемые техники MITRE ATT&CK: Drive-by Compromise (T1189) | Command-Line Interface (T1059) | Execution through API (T1106) | Scheduled Task (T1053) | Hidden Files and Directories (T1158) | File Permissions Modification (T1222) | Install Root Certificate (T1130) | Credentials in Files (T1081) | Credential Dumping (T1003) | Query Registry (T1012) | Email Collection (T1114)
Наконец, 16 марта компания ESET, сообщила о том, что в течение семи часов путем рассылки электронных писем с темой COVID-19 на компьютеры пользователей было доставлено около 2500 экземпляров ВПО, данная активность была замечена в Испании, Португалии, Чехии, Малайзии и Германии.
Используемые техники MITRE ATT&CK: Techniques: Spearphishing Attachment (T1193) | Spearphishing Link (T1192) | Execution through Module Load (T1129) | Query Registry (T1012)
Выводы и рекомендации
К сожалению, на этом рост количества таких атак не остановился – с каждым днем мы наблюдаем все новые примеры кибератак, а их техники усложняются. Учитывая всплеск злонамеренной активности, связанной с COVID-19, в сочетании с усилиями правительств и организаций по обеспечению социального дистанцирования и удаленной работы, угроза фишинговых кампаний, связанных с COVID-19 будет продолжать расти дальше. Для противодействия данным угрозам необходимо придерживаться довольно стандартных рекомендаций:
- Будьте внимательны и осторожны при получении писем или SMS по теме COVID-19 от не доверенных пользователей или организаций, выдающих себя за правительственные.
- При получении таких писем не открывайте вложенные файлы и не переходите по ссылкам в письме, особенно когда отправитель просит вас посетить какой-нибудь сайт, запрашивая личную информацию или другую конфиденциальную информацию. Лучше всего перейти на легальный веб-сайт, введя его адрес в веб-браузере.
- Всегда проверяйте адрес веб-сайта, чтобы убедиться, что он легитимный. Не верьте слепо тому, что замок, расположенный в левом верхнем углу адресной строки браузера, означает, что он является легитимным, это всего лишь означает то, что обмен информацией между сайтом и вашим компьютером зашифрован.
- Устанавливайте последние обновления безопасности для операционных систем и приложений.
- Используйте антивирусное ПО и межсетевые экраны, а также удостоверьтесь, что они получают последние обновления.
- Проводите постоянное обучение пользователей по вопросам безопасности, чтобы сотрудники знали, как выявить подозрительную активность и сообщить о ней.
- Будьте в курсе последних событий, связанных с угрозами кибербезопасности, подписавшись на еженедельные бюллетени или другие статьи и блоги, посвященные новостям кибербезопасности.
Дополнительно, службам информационной безопасности компаний, мы рекомендуем использовать в своем арсенале платформы киберразведки (Threat Intelligence Platform), которые помогут быстрее узнавать и понимать векторы атак хакеров. Это позволит существенно улучшить качество службы информационной безопасности в компании. Тем более, что на данный момент многие коммерческие поставщики данных киберразведки, предоставили бесплатный доступ к индикаторам компрометации (IOC), связанных с пандемией COVID-19. Полученную информацию о киберугрозах, организация может использовать в стеках безопасности для оперативной упреждающей блокировки и оповещения об угрозах. Средства защиты информации, которые могут быть усилены этими данными, включают такие системы как - SIEM, EDR, межсетевые экраны, DNS-серверы, платформы SOAR и многие другие СЗИ.
Пандемия COVID-19 это непростое время для всех специалистов по кибербезопасности, которые и так постоянно сталкиваются с различными рисками, и платформы киберразведки (Threat Intelligence Platform) могут помочь организациям достойно противостоять новым угрозам, в том числе связанных с COVID-19.