Новая хакерская группировка – TinyScouts
По сообщению компании «Ростелеком-Солар», специалисты ее центра мониторинга и реагирования на киберугрозы Solar JSOC выявили новую киберпреступную группировку, которая использует сложную схему атаки и неизвестное ранее вредоносное ПО. Группировка получила название TinyScouts – по сочетанию наименования главных функций в коде. На данный момент эксперты фиксируют атаки на банки и энергетические компании.
На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых предупреждают о начале второй волны пандемии коронавируса, а для получения дополнительной информации предлагают пройти по ссылке. Встречаются также варианты фишинговых писем с четким таргетингом: сообщение напрямую относится к деятельности организации и выглядит вполне убедительно, но также содержит вредоносную ссылку.
Если пользователь переходит по ссылке, запускается загрузка основного компонента вредоносного ПО, которая происходит в несколько итераций. На этом этапе злоумышленники действуют медленно и осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников.
На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает ее злоумышленникам. Если данный узел инфраструктуры не представляет для них интереса, то на него загружается дополнительный модуль – «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифрование. В ходе атаки используется и легитимное ПО, в частности, принадлежащее компании Nirsoft. Перед тем, как данные на компьютере будут зашифрованы, оно собирает пароли пользователя из браузеров и почтовых клиентов, не оставляя заметных следов активности, поскольку не требует установки и не формирует записей в реестре ОС.
Если же зараженный компьютер интересен злоумышленникам, скачивается дополнительное ПО, защищенное несколькими слоями обфускации и шифрования, которое обеспечивает удаленный доступ и полный контроль над зараженной рабочей станцией. Оно написано на PowerShell – как отмечают эксперты, это один из редких случаев, когда данный язык не просто используется в ходе атаки, а является инструментом для создания полноценного вредоносного ПО такого класса. Сценарий атаки предоставляет киберпреступникам широкий спектр вариантов монетизации: вывод финансовых средств, хищение конфиденциальных данных, шпионаж и т.д.
Как комментируют в Solar JSOC, группа TinyScouts использует такое вредоносное ПО и такие методы его доставки, упоминания о которых эксперты не нашли в открытых источниках, следовательно, можно предположить, что это работа новой группировки. Данный факт, вкупе с количеством уловок, направленных на то, чтобы остаться незамеченными, и индивидуальностью сценария атаки для каждой конкретной жертвы, говорит о том, что это не просто еще одна команда, организующая нецелевые массовые атаки. По оценкам Solar JSOC, технические навыки TinyScouts не ниже, чем у группировки, стоящей за атаками Silence, а в технических аспектах доставки ПО на машину жертвы даже превосходят их, хотя и уступают APT-группировкам и правительственным кибервойскам.
Кроме того, поясняют эксперты, решение о сценарии атаки принимается злоумышленниками после получения информации о том, какой организации принадлежит конкретная зараженная машина, и это косвенно свидетельствует о планируемых масштабах активности TinyScouts – как минимум, о технической готовности к ряду одновременных атак на крупные организации.