Основные киберугрозы 1 квартала 2023 года

Привет! Меня зовут Александр Новиков. Я руководитель Службы поиска и анализа киберугроз информационной безопасности Группы «Иннотех». Наша команда продолжает собирать информацию об активностях злоумышленников. В этой статье я расскажу, с какими именно вызовами по информационной безопасности столкнулись российский бизнес и банковская отрасль в 1 квартале 2023 года.

Основная повестка в информационном поле ИБ остаётся неизменной – противостояние России и Запада. Количество и мощность атак неуклонно растёт, а тема ИБ всё чаще становится предметом обсуждения первых лиц государств.

Первый квартал 2023 года запомнился несколькими резонансными компьютерными атаками, совершенными на российские предприятия различных отраслей. В частности, в одной из серии атак злоумышленники шифровали устройства жертв и оставляли записку, в которой открыто заявляли о своей политической мотивации.

Утечки баз данных информационных систем, в которых содержатся конфиденциальные сведения о российских гражданах и организациях, продолжают оставаться на высоком уровне. Данный факт вызывает серьезную обеспокоенность, так как они могут быть использованы злоумышленниками для совершения более сложных атак, в том числе с применением методов социальной инженерии. Также присутствует высокий риск использования утекших данных для шантажа жертв.

Объём обнаруженных уязвимостей в Q1 увеличился по сравнению с предыдущим кварталом. Также было зафиксировано несколько резонансных уязвимостей и эксплойтов к ним, которые были моментально взяты на вооружение злоумышленниками.

Новым вектором угроз стали фишинговые кампании, направленные на пользователей мессенджера Telegram, а простота и быстрота осуществления подобного вида атак за короткое время сделали их массовыми.

В Q1 2023 фиксировалась преступная активность, нацеленная на финансовый сектор ряда стран. Значительная часть направлена на клиентов финансовых организаций. В атаках использовалось как новое ВПО, так и обновленные версии уже известного ранее.

Особенность целенаправленных атак (APT) заключается в том, что злоумышленников интересует конкретная компания, государственная организация или целая отрасль. Это отличает данную угрозу от массовых хакерских атак.

Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов — от разведки и внедрения до сокрытия следов присутствия. Как правило, в результате такой атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение весьма продолжительного времени.

Основные тренды

YoroTrooper

YoroTrooper нацелен на правительства по всей Восточной Европе по крайней мере с июня

2022 года. Атаки на Россию зафиксированы в августе, сентябре и декабре 2022. Чтобы обмануть своих жертв, злоумышленник регистрирует вредоносные домены с опечатками, делая их похожими на легитимные домены организаций СНГ для размещения вредоносных артефактов.

Шпионаж является основной мотивацией группировки.

На данный момент YoroTrooper нельзя однозначно атрибутировать с какой-либо из уже известных групп. Злоумышленники являются русскоговорящими, но не обязательно проживающими в России или ее гражданами. Кроме того, в некоторых случаях целями YoroTrooper являются машины с установленным русским языком, что указывает на то, что группа нацелена на русскоговорящих людей.

Первоначальные векторы атаки — фишинговые электронные письма, содержащие вредоносное вложение с заманчивым названием, представляющим интерес для стран СНГ, либо с общим названием, типа «вложение. rar». Артефакты, похожие по структуре и содержимому на те, что использовались в атаках YoroTrooper, были найдены на VirusTotal исследователями из «Qi An Xin». Временной диапазон атак на Россию также совпадает – с сентября по декабрь 2022 года. В числе целей вероятно были Федеральное агентство по делам СНГ (Россотрудничество) и Министерство внешних связей Астраханской области.

Новая APT

В Q1 2023 зафиксированы атаки, направленные на правительственные, сельскохозяйственные и транспортные организации, расположенные в Донецке, Луганске и Крыму. На данный момент прямой связи кода и данных с какими-либо известными ранее кампаниями не выявлено.

Предполагается, что на начальном этапе атаки злоумышленники используют целевой фишинг по электронной почте. В атаках использовались файлы-приманки, текст которых освещал события государственной тематики.

Компьютеры заражались через ранее неизвестный бэкдор PowerMagic новым вредоносным фреймворком CommonMagic. Хотя ВПО и используемые в нем техники не отличаются особой сложностью, они достаточно эффективны.

Вредоносные действия, выполняемые в ходе атак, позволяют полагать, что основной целью злоумышленников является шпионаж.

Lazarus (КНДР)
Группа активна по крайней мере с 2009 года. В числе целевых атакуемых стран неоднократно была замечена Россия. Последний раз атаки на РФ были замечены в Q3 2022– аналитиками описывалась атака группы Andariel, входящей в состав Lazarus.

Результатом атак было шифрование файлов с использованием шифровальщика Maui.

В Q1 2023 появилось исследование нового бэкдора WinorDLL64, который специалисты ESET с низкой степенью достоверности относят к группе Lazarus, основываясь на целевом регионе и совпадении как в поведении, так и в коде с известными образцами Lazarus.

Mustang Panda (Китай)

Группа занимается шпионажем и впервые была замечена в 2017 году. На фоне конфликта в Украине в Q2 2022 фиксировалось учащение атак китайских проправительственных APT- группировок на различные предприятия РФ. Одна из идентифицированных кампаний получила название Twisted Panda, за ней, предположительно, может стоять Mustang Panda.

В кампании, начавшейся в январе 2023 года, группа начала использовать новый бэкдор, получивший название MQsTTang.

Kimsuky (КНДР)

Группа осуществляет атаки с целью шпионажа как минимум с 2012 года. Россия является одной из целевых стран. Последний раз атака на РФ была зафиксирована в Q1 2022 – целями злоумышленников были сотрудники Министерства иностранных дел Российской Федерации.

Недавно было обнаружено, что группа Kimsuky использует альтернативный поток данных (ADS) для сокрытия своего ВПО. Использование этого метода приводит к тому, что при проверке файла в каталоге его размер отображается как 0 байт.

Финансовый сектор

Среди основных угроз для финансового сектора можно отметить мобильные банковские трояны, а также фишинговые рассылки многофункционального ВПО, нацеленного в том числе на хищение средств.

Вымогатели

В первом квартале была зафиксирована активность более 160 различных семейств шифровальщиков. Наиболее активной из них была группировка LockBit, на счету которой оказалось 272 жертвы.

Зарегистрированы уязвимостей в мире – 7885 CVE (за Q1 2023). По сравнению с Q4 2022 количество зарегистрированных уязвимостей увеличилось примерно на 48% (за Q4 2022 было зарегистрировано 5310 уязвимостей) . Наибольший интерес представляют 0-day уязвимости, опубликованные в открытом доступе, так как по статистике, продвинутым APT-группировкам требуется менее суток для написания эксплойта. Также важно отметить, что с момента публикации в открытом доступе PoC/эксплоита проходит в среднем 2 суток, после чего уязвимость начинает активно эксплуатироваться злоумышленниками.

Топ уязвимостей Q1 2023

Утечки данных являются одной из самых опасных угроз для компаний. Помимо рисков проникновения в инфраструктуру, наличие утечек также наносит ощутимый удар по репутации и финансовому состоянию любой организации.

По оценкам специалистов, 98% организаций имеют партнеров, которые подвергались взлому в течение последних двух лет. Кроме того, согласно исследований, 87% используемых в рабочей среде образов контейнеров имеют критические либо очень серьезные уязвимости.

На протяжении Q1 сохранялся существовавший ранее тренд на публикацию большого количества вредоносных пакетов в публичных репозиториях. Другой потенциальной опасностью для осуществления supply chain атак является увеличение случаев непреднамеренной публикации секретов, таких как учетные данные и приватные ключи, в коммитах Github.

В первом квартале 2023-го года был представлен фреймворк Open Software Supply Chain Attack Reference (OSC&R) , разработанный по аналогии с MITRE ATT&CK. Он создан для изучения и анализа тактик, техник и процедур злоумышленников, применяемых непосредственно в атаках на цепочки поставок. Также сама MITRE выпустила прототип облачной платформы Risk Model Manager (RMM) для фреймворка System of Trust, с помощью которого можно проводить оценку рисков для поставщиков оборудования, программного обеспечения и услуг.

Вид мошенничества, в котором используется социальная инженерия, с целью кражи личных данных пользователей. Мошенники полагаются на невнимательность пользователей, вводят их в заблуждение с помощью поддельных сайтов, адресов электронных почт и сообщений. Обманным путем мошенники заставляют жертв предоставлять личные или конфиденциальные данные компаний.

Фишинговые атаки становятся все более продуманными и приводят к большим финансовым и репутационным потерям.

В большинстве случаев фишинговые сайты визуально очень похожи на легальные. Мошенники используют логотипы, корпоративные цвета, расположение контента в точности как на официальном ресурсе.

Основные тренды

В Q1 2023 главным трендом стал ChatGPT. Мы зафиксировали большой всплеск регистрации доменов с упоминанием «gpt», «chatgpt», «openai». Наиболее распространенными схемами, реализуемые злоумышленниками, можно выделить следующие:

Также сохраняет актуальность мошенническая активность, направленная на кражу Telegram-аккаунтов. Шаблон схемы остается прежним, меняется только легенда для распространения и заманивания на фишинговые сайты.

Как и в Q4 2022 лидирующими доменными зонами остаются .ru, .site и .online. На них приходится более 94% от общего количества обнаруженных фишинговых ресурсов.

Мы продолжаем наблюдать увеличение количества DDoS-атак на российские информационные ресурсы со стороны политически-мотивированных хактивистов. Атаки в основном были направлены на официальные сайты банков и ресурсы, которые используются для предоставления услуг и сервисов.

Авторы DDoS-атак на российские организации все чаще осуществляют их для отвлечения внимания от других действий по взлому и кражи данных.

Для проведения DDoS-атак против российских организаций в начале 2023 года использовался специальный ботнет, состоящий как минимум из 55 000 скомпрометированных устройств, среди которых были ПК, смартфоны, серверы и маршрутизаторы.

В январе наблюдалось большое количество DDoS-атак на сферу электронной коммерции в России.

28 января компания BI.ZONE подверглась рекордной по мощности DDoS-атаке с пиком в 1,3 Тб/с

Это новый рекорд для российского сегмента сети Интернет. До января 2023 года пик мощности DDoS-атак достигал уровня в 1 Тбит/сек.

В феврале был зафиксирован всплеск DDoS-атак на инфраструктуру ритейлеров.

В марте началась волна DDoS-атак на банки и платежные системы.

Эксперты StormWall выяснили, что в январе 2023 года предельная мощность DDoS-атак на финансовый сектор возросла примерно на 92%, а общее число DDoS-атак увеличилось на 120% в сравнении с показателями января прошлого года

Наблюдаемые и анализируемые данные дают нам основания полагать, что в следующем квартале количество угроз ИБ будет оставаться на прежнем высоком уровне.

Злоумышленники за последний год накопили большой опыт при совершении компьютерных атак на реальные инфраструктуры жертв. В свободном доступе также оказалось большое количество конфиденциальных данных, которые могут быть легко использованы при совершении атак с применением методов социальной инженерии и шантажа. Мы считаем, что впереди нас ждёт еще много резонансных компьютерных атак, крупных утечек данных, и рекордных по мощности DDoS-атак.