Безопасность
Стратегия безопасности

Специалисты Центра экспертной безопасности Positive Technologies (PT Expert Security Center, г. ПТ ЭКУ) обнаружил серию атак по всему миру. Особое «письмо» злоумышленники позволяет экспертам говорить о том, что эти атаки, скорее всего, связаны с группой TA558. Хакерская группа, замеченная в Латинской Америке с 2018 года, расширяет свою географию: среди 10 основных жертв — охранные компании. Турция, Румыния И Россия.

«В изученных нами атаках группа активно использовала технику стеганографии: файлы полезной нагрузки передавались внутри изображений. Помимо стеганографии, группа аналогичным образом использовала текстовые сервисы. Интересно, что оба метода использовались одновременно в цепочках для лучшей защиты от обнаружения, сказал он. Александр Бадаевспециалист отдела исследования угроз информационной безопасности Экспертного центра безопасности Позитивные технологии. «Большинство названий вредоносных файлов содержали слово «любовь», поэтому мы назвали эту операцию SteganoAmor. Все это помогло нам обнаружить связи между разными элементами атаки и определить их принадлежность к одной группе.

Согласно отчету, группировка использует легальные сервисы для хранения каналов. злонамеренный Программное обеспечение и изображения, содержащие вредоносный код. В своих атаках хакеры использовали известное программное обеспечение, в том числе Agent Tesla, FormBook, Remcos, ЛокиБотGuLoader, кейлоггер Snake, XWorm.

Изучив все детали и существующие исследования, специалисты PT ESC связали эти атаки с группой TA558, известной своим интересом к компаниям из стран. Латинская Америка (Превыше всего осмотр достопримечательностей и гостеприимство). Анализ выявил многочисленные выборки, ориентированные на разные сектора и страны. Эксперты получили несколько сотен фишинговых писем, отправленных в разные компании. Более 50 атак были направлены на российские, румынские и турецкие компании.

ЧИТАТЬ   Утренние аварии в Петербурге: автобаза поехала в школу, на Выборгском шоссе заглохла коробка передач

Всего в ходе исследования специалисты Positive Technologies выявили более 320 атак, нацеленных на компании в 31 стране, в том числе СОЕДИНЕННЫЕ ШТАТЫ, Германия, Индия. Среди наиболее пострадавших отраслей — промышленность (21%), Сектор обслуживания (16%), государственный сектор (16%), электроэнергетика (8%) и строительство (8%).

Подобные атаки можно обнаружить с помощью специализированных средств безопасности, а для анализа атак и их предотвращения необходимо привлекать профессионалов к расследованию киберинцидентов. Таким образом, SIEM-система MaxPatrol способна обнаружить не только ключевое событие — кражу данных, но и предыдущие шаги — Фишинг и передача данных – с использованием определенных правил. МаксПатроль ЭДР позволит идентифицировать и остановить работу этого вредоносного ПО на конечных точках: настольных компьютерах, ноутбуквиртуальные рабочие места и официанты. Обнаружение сетевых атак PT (ПТ НАД) также обнаруживает деятельность банд. Для поиска обращений к вредоносным индикаторам группы TA558 в PT NAD используйте фильтр: rpt.cat ~ «ESC-manual-ta558-*». Для обнаружения активности вредоносного ПО, упомянутой в отчете, набор проверки содержит более 40 правил. Песочница PT Песочница используя механизмы поведенческого анализа, обнаруживает вредоносное ПО, которое группа использует для Фишинг атаки. А онлайн-сервис ПТ Нокин может заранее проверить, могут ли инструменты безопасности электронной почты компании противостоять атакам TA558.

Source

От admin