Киберпреступники импортозаместили инструменты для атак
Против российских компаний, как выяснили эксперты управления киберразведки BI.ZONE, киберпреступники начали использовать отечественные решения для удаленного доступа. Таким образом преступники обходят традиционные средства защиты и успешно закрепляются в инфраструктуре бизнеса.
Злоумышленники часто применяют инструменты удаленного доступа, чтобы закрепиться в инфраструктуре взломанной компании. Наиболее популярные программы для этого — зарбуежные TeamViewer, AnyDesk и AmmyAdmin. Ими же часто пользовались сами компании для различных бизнес-целей, поэтому службы безопасности не могли блокировать такие программы. Однако сейчас многие российские организации переходят на отечественное ПО, поэтому стало возможным блокировать зарубежный софт, который могут использовать злоумышленники.
Группировка Quartz Wolf адаптировала атаки: чтобы обойти традиционные средства защиты, она использует отечественные решения для удаленного доступа. Это повышает шансы атакующих оставаться незамеченными в инфраструктуре.
Злоумышленники рассылают фишинговые электронные письма от лица компании "Федеральный Гостиничный Сервис", которая помогает передавать сведения о регистрации и данных для миграционного учета в МВД.
В сообщениях атакующие якобы уведомляют о вступивших в силу изменениях в процедуре регистрации, с которыми необходимо срочно ознакомиться по приложенной ссылке. Пользователь скачивает архив, открывает его и, сам того не зная, запускает вредоносный файл. При этом устанавливается российское решение для удаленного доступа "АССИСТЕНТ".
Удаленный доступ позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows и т. п. Это открывает широкие возможности злоумышленникам: от кражи учетных данных для входа в бизнес-системы и передачи данных клиентов на сторонний сервер до совершения операций в банковском ПО от имени жертвы.
Олег Скулкин, руководитель управления киберразведки BI.ZONE: "Использование легитимных средств позволяет атакующим оставаться незамеченными в скомпрометированной сети продолжительное время, особенно если такое ПО уже используется организацией. На примере Quartz Wolf мы видим, что злоумышленники следят за трендами импортозамещения. Они меняют методы, чтобы их действия по-прежнему выглядели как активность обычных пользователей".