По сообщению компании «Ростелеком-Солар», эксперты ее центра расследования киберинцидентов JSOC CERT зафиксировали всплеск достаточно редкого типа атак на банки и энергетическую отрасль. Цепочка вредоносной активности включает четыре этапа, что позволяет хакерам получить контроль в инфраструктуре организации, оставаясь незаметными для средств защиты — антивирусов и даже песочниц.

Многокомпонентная атака начинается с фишинговой рассылки офисных документов в адрес сотрудников организации якобы от имени других организаций – представителей отрасли. При открытии вложения активируется исполняемый файл, который обращается к популярному хостингу открытого кода pastebin.com. Оттуда запускается участок кода, который отправляет команду о скачивании на атакуемый компьютер картинки с сервиса по обмену изображениями imgur.com. Дело осложняется использованием стеганографии: в загруженное изображение встроено вредоносное ПО, позволяющее хакерам собрать и отправить на свои серверы полную информацию о жертве.

Если полученные данные оказываются интересны для злоумышленников, дальнейший сценарий управления зараженной системой может включать, например, загрузку вирусов для кражи ценных документов и коммерческого кибершпионажа (в случае с энергетическими компаниями) или для вывода денежных средств (в случае банков). Кроме того, хакеры могут монетизировать свои действия, продавая сами точки присутствия в инфраструктуре организаций.

Как поясняют в JSOC CERT, стилистика вредоносного кода похожа на ту, что использует русскоговорящая хакерская группировка Silence, которая до недавнего времени специализировалась исключительно на банках. Таким образом, либо Silence осваивает новые отрасли и способы зарабатывания денег, либо появилась новая, очень профессиональная группировка, которая удачно имитирует код Silence.

По статистике «Ростелеком-Солар», 80% таких атак было направлено на банки. Но в тех 20% случаев, которые пришлись на энергетику, хакеры атаковали более активно – сотрудникам компаний было отправлено около 60% от общего числа фишинговых писем, причем их качество также говорит о более тщательной подготовке со стороны злоумышленников.

Cтоль непростой механизм доставки вредоносного ПО до конечной точки, отмечают эксперты JSOC CERT, встречается крайне редко и обычно свидетельствует о целенаправленной атаке. Автоматизированные средства защиты – антивирусы и песочницы – не могут детектировать подобные инциденты, так как они рассчитаны на выявление атак из одного-двух этапов. В такой ситуации службам безопасности рекомендуется особенно внимательно подойти к вопросу повышения киберграмотности сотрудников.