Исследователи обнаружили несколько шпионских кампаний, нацеленных на промышленные предприятия и направленных на кражу учетных данных электронной почты и финансовое мошенничество или их перепродажу другим субъектам.
Злоумышленники используют готовые шпионские инструменты, но развертывают каждый вариант только на очень ограниченное время, чтобы избежать обнаружения.
Примеры обычных вредоносных программ, используемых в атаках, включают AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult и Lokibot.
Нетипичная атака
«Лаборатория Касперского» называет эти атаки шпионского ПО «аномальными» из-за их очень недолговечного характера по сравнению с тем, что считается типичным в этой области.
В частности, продолжительность атак ограничена примерно 25 днями, в то время как большинство шпионских кампаний длятся несколько месяцев или даже лет.
Количество атакованных систем в этих кампаниях всегда меньше сотни, половина из которых — это машины АСУ (интегрированные компьютерные системы), развернутые в промышленных средах.
Еще одним необычным элементом является использование коммуникационного протокола на основе SMTP для передачи данных на сервер C2, контролируемый субъектом.
В отличие от HTTPS, который используется в большинстве стандартных шпионских кампаний для связи с C2, SMTP — это односторонний канал, предназначенный только для кражи данных.
SMTP не является обычным выбором для злоумышленников, потому что он не может получать двоичные или другие нетекстовые файлы, но он процветает благодаря своей простоте и способности сочетаться с обычным сетевым трафиком.
Кража учетных данных для дальнейшего проникновения
Злоумышленники используют украденные учетные данные сотрудников, которые они получают с помощью целевого фишинга, для более глубокого проникновения и перемещения в сети компании.
Более того, они используют корпоративные почтовые ящики, скомпрометированные в предыдущих атаках, в качестве C2-серверов для новых атак, что значительно усложняет обнаружение и пометку вредоносной внутренней корреспонденции.
«Любопытно, что корпоративные технологии защиты от спама помогают злоумышленникам оставаться незамеченными при краже украденных учетных данных с зараженных машин, делая их «невидимыми» среди всех мусорных писем в папках со спамом». — объясняет отчет Касперского.
Что касается цифр, аналитики выявили не менее 2000 учетных записей корпоративной электронной почты, которые использовались в качестве временных серверов C2, и еще 7000 учетных записей электронной почты, которые использовались другими способами.
Продажа на рынках даркнета
Многие учетные записи электронной почты RDP, SMTP, SSH, cPanel и VPN, украденные в ходе этих кампаний, размещаются на торговых площадках даркнета и в конечном итоге продаются другим злоумышленникам.
Согласно статистическому анализу «Лаборатории Касперского», около 3,9% всех учетных записей RDP, проданных на этих нелегальных рынках, принадлежат промышленным компаниям.
Учетные записи RDP (протокол удаленного рабочего стола) ценны для киберпреступников, поскольку они позволяют им получать удаленный доступ к скомпрометированным машинам и напрямую взаимодействовать с устройством, не вызывая никаких опасений.
Как правило, эти списки вызывают интерес у участников программы-вымогателя, которые используют доступ RDP для развертывания своего разрушительного вредоносного ПО.
Последнее обновление 05.01.2023
