Отчет отдела Trellix Threat Labs Research об угрозах: апрель 2022 г.

Обращение нашего руководителя научных проектов

Я рад представить вам наш последний отчет об угрозах.

По прошествии почти трех месяцев после начала года не будет преувеличением сказать, что это было непростое время. Мы постепенно выходим из пандемии, но неопределенность, ставшая следствием недавнего конфликта в евразийском регионе, влияет на нашу ежедневную жизнь и стала главной темой наших разговоров.

Прежде всего заявляю, что Trellix выступает за мир. Независимо от того, какие стороны и в какой конфликт они вовлечены, наша задача — обеспечить защиту наших клиентов и соблюдать положения международного права. При подготовке этого отчета мы продолжали нашу исследовательскую деятельность, круглосуточно наблюдая за мировым ландшафтом угроз. На этом ландшафте группа Lapsus$ атаковала крупные компании по всему миру, первоначально сосредоточившись на жертвах в Южной Америке, что привело к утечкам конфиденциальных данных, таких как исходные коды и сертификаты.

Мы также наблюдали злонамеренное использование этих сертификатов. Примером являются подписи для маскировки вредоносного ПО под легитимные двоичные файлы — метод обхода проверки легитимности операционных систем и продуктов обеспечения безопасности. С подробной информацией об этой группе, ее последних атаках, а также о мерах противодействия можно ознакомиться здесь.

В нашем втором отчете об угрозах с момента создания нашей новой компании мы рассказываем о (кибер)событиях, которые доминировали в заголовках международных СМИ. От атак на инфраструктуру Украины до вредоносной программы HermeticWiper, уничтожающей загрузочные сектора на любой зараженной машине, — кибербезопасность стала главной темой для многих в наступившем году. Мы также подводим итоги четвертого квартала 2021 года, во время которого уязвимость Log4shell поразила сотни миллионов устройств, и теперь, в наступившем году, многие пользователи опасаются новых угроз.

Сотрудники подразделения Trellix Threat Labs уже многие годы находятся на переднем рубеже, исследуя и анализируя программы-вымогатели. Мы с гордость констатируем, что в результате нашей совместной работы с государственными службами в декабре 2021 года был проведен ряд арестов и вымогательская деятельность киберпреступников была пресечена. Недавние утечки информации из чатов вымогательских группировок Conti и Trickbot показали, на каком высоком профессиональном уровне проводятся эти операции. Это еще раз демонстрирует необходимость слаженной работы частных и государственных структур в целях предотвращения таких атак.

Кроме того, ознакомьтесь с нашим блогом исследования угроз Trellix, в котором размещены последние сведения об угрозах, видеоролики и ссылки на бюллетень по безопасности.

В этом отчете также освещаются прочие распространенные угрозы и атаки, наблюдаемые «на просторах сети».

Кристиан Бек (Christiaan Beek)
Руководитель научных проектов

Кристиан Бик (Christiaan Beek) Twitter

Эксперты Trellix Threat Labs выявили кибрешпионские атаки (ATP), осуществляемые DarkHotel под видом обновлений

В марте исследователи Trellix обнаружили первую стадию вредоносной кампании, направленной на элитные отели в Макао (Китай), которая началась еще во второй половине ноября 2021 года. Началом атаки было фишинговое электронное письмо, адресованное руководству отеля, занимающему такие должности, как вице-президент по персоналу, помощник управляющего и менеджер по работе с клиентами. На основании служебного положения можно предположить, что атакуемые лица имеют широкий доступ к внутренней сети отеля, включая системы бронирования. Принцип работы:

• Электронное письмо, используемое для атаки целевого фишинга, содержит вложение с таблицей Excel. Таблица Excel используется для обмана жертвы и внедряет вредоносные макросы после того, как ее открыли.
• Эти макросы включают ряд механизмов, подробно описанных в части «Технический анализ» и представленных в обобщенном виде в приведенной ниже блок-схеме алгоритма заражения.
• Вначале макросы создают запланированную задачу для распознавания данных, их сбора и эксфильтрации.
• Затем, чтобы обеспечить связь с командно-контрольным сервером, служащим для эксфильтрации данных жертвы, макросы используют известную технику lolbas (Living Off the Land Binaries and Scripts) для выполнения командных строк PowerShell в качестве доверенного сценария.

С подробной информацией о происхождении и техническом анализе кампаний по кибершпионажу с использованием сложной постоянной угрозы DarkHotel вы можете ознакомится в нашем блоге.

Подразделение Trellix Threat Labs выявило взлом системы безопасности офиса премьер-министра

В январе наша исследовательская группа объявила о выявлении многоступенчатой кибершпионской кампании, направленной на высокопоставленных правительственных чиновников, контролирующих политику национальной безопасности и сотрудников оборонной промышленности в Западной Азии. Компания Trellix заранее раскрыла эту информацию пострадавшим лицам и предоставила им всю необходимую информацию для удаления из их сред всех известных составляющих атаки.

Анализ хода атаки начинается с выполнения файла Excel, содержащего средство использования уязвимости в MSHTML (CVE-2021-40444), позволяющее выполнять код удаленно. Она используется для выполнения вредоносного DLL-файла, выступающего в качестве загрузчика для вредоносной программы третьего этапа, которую мы назвали Graphite. Graphite — это недавно обнаруженный образец вредоносного ПО на базе стейджера OneDrive Empire, который позволяет посредством API Microsoft Graph использовать в качестве командно-контрольного сервера учетные записи OneDrive.

На последних этапах этой многоступенчатой атаки, которая, как мы полагаем, связана с одной из сложных постоянных угроз (APT), осуществляется запуск различных стейджеров Empire, чтобы в конечном итоге загрузить агент Empire на компьютеры атакуемых лиц и задействовать командно-контрольный сервер для удаленного управления этими системами.

На следующей диаграмме показан ход этой атаки в целом.

С более подробным анализом, охватывающим этапы, инфраструктуру и происхождение этой атаки, вы можете ознакомится в нашем блоге.

Методика

Внутренние системы Trellix предоставляют телеметрические данные, которые мы используем в качестве исходной информации для наших ежеквартальных отчетов об угрозах. Мы сопоставляем наши телеметрические данные с информацией из открытых источников об угрозах и с нашими собственными расследованиями распространенных угроз, таких как программы-вымогатели, операции государственных структур и т. п.

Когда мы говорим о телеметрических данных, мы имеем ввиду случаи обнаружения, а не случаи заражения. Случай обнаружения, это когда один из наших продуктов регистрирует подозрительный файл, URL-, или IP-адрес и сообщает об этом нам.

Конфиденциальность наших клиентов является для нас приоритетом. Это также относится к телеметрическим данным и к их сопоставлению по секторам и странам, в которых работают наши клиенты. Клиентская база в каждой стране разная, и цифры могут указывать на рост, однако для того, чтобы глубже понять происходящее, следует тщательно проанализировать полученные данные. Примером тому может служить телекоммуникационный сектор, который постоянно демонстрирует большое количество обнаружений согласно нашим данным. Однако это не значит, что большинство угроз направлено именно на него. К телекоммуникационному сектору также относятся поставщики услуг Интернета, которые владеют собственными пространствами IP-адресов, приобретаемых компаниями. Что это значит? Уведомления об обнаружениях из пространства IP-адресов поставщиков услуг Интернета отображаются как обнаружения в телекоммуникационном секторе, но могут исходить и от клиентов этих поставщиков, действующих совсем в другом секторе.

Программы-вымогатели

В последнем квартале 2021 года ландшафт программ-вымогателей продолжил меняться. Вместо крупномасштабных атак, о которых мы рассказывали в нашем предыдущем отчете, разработчикам программ-вымогателей пришлось искать новые подпольные базы, а правоохранительные органы начали активное преследование нескольких известных вымогательских группировок. Одной из таких группировок была REvil/Sodinokibi, которая в третьем квартале еще входила в число крупнейших семейств программ-вымогателей. Однако REvil пришлось сойти со сцены после координированного уничтожения их инфраструктуры, нескольких внутренних конфликтов и арестов членов группировки. Компания Trellix с гордостью отмечает, что оказала помощь в расследовании деятельности REvil, предоставив анализ вредоносного ПО, определив местонахождение ключевой инфраструктуры и выявив нескольких подозреваемых.

В IV квартале тройку лидеров среди программ-вымогателей по версии Trellix составили Lockbit, Cuba и Conti. Мы подозреваем, что оставшиеся члены группировки REvil, по всей вероятности, присоединились к группировкам хакеров-вымогателей, использующих перечисленные выше программы.

И пока мы пишем отчет, ландшафт угроз продолжает изменяться. Conti, ставшая крупнейшим семейством программ-вымогателей, допустила утечку в Интернет содержания тысяч своих чатов, по сути, раскрыв все внутренние секреты. Мы назвали эту утечку «Панамские документы по программам-вымогателям» и обязательно представим наши выводы в следующем квартальном отчете.

Чтобы помочь предприятиям лучше понять и надежнее защититься от атак программ-вымогателей, наша группа специалистов Threat Labs представляет исследования и выводы о распространенности широкого спектра угроз программ-вымогателей, включая семейства, методы, страны, секторы и векторы за IV квартал 2021 года.