Календарь мероприятий


Специалисты Solar JSOC выявили новую хакерскую группировку

   Специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC выявили новую киберпреступную группировку. Она использует сложную схему атаки и уникальное вредоносное ПО, не известное ранее. Новая группировка получила название TinyScouts - по сочетанию наименования главных функций в коде. На данный момент эксперты фиксируют атаки на банки и энергетические компании.
   На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых получателя предупреждают о начале второй волны пандемии коронавируса и для получения дополнительной информации предлагают пройти по ссылке. Встречаются также варианты фишинговых писем, имеющий четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит вполне убедительно, однако также содержит вредоносную ссылку.
   Кликнув по ней, жертва запускает загрузку основного компонента вредоносного ПО, которая происходит в несколько итераций. На этом этапе злоумышленники действуют максимально медленно и осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников.
   На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает ее злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль - "вымогатель", шифрующий всю информацию на устройстве и требующий выкуп за расшифрование. В ходе атаки используется и легитимное ПО, в частности, принадлежащее компании Nirsoft. Перед тем, как данные на компьютере будут зашифрованы, оно собирает пароли пользователя из браузеров и почтовых клиентов, не оставляя заметных следов активности, поскольку не требует установки и не формирует записей в реестре ОС.
   Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное дополнительное ПО, защищенное несколькими слоями обфускации и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией. Примечательно, что оно написано на PowerShell - это один из крайне редких случаев, когда этот язык не просто используется злоумышленниками в ходе атаки, а является инструментом для создания полноценного вредоносного ПО такого класса. Этот сценарий атаки предоставляет киберпреступникам широкий спектр вариантов монетизации: вывод финансовых средств, хищение конфиденциальных данных, шпионаж и т.д.
   "TinyScouts используют такое вредоносное ПО и такие методы его доставки, упоминание о которых мы не нашли в открытых источниках, а значит можно сделать предположение о том, что это работа новой группировки. Этот факт вкупе с количеством уловок, направленных на то, чтобы остаться незамеченными, и индивидуальность сценария атаки для каждой конкретной жертвы говорит о том, что это не просто еще одна команда, организующая нецелевые массовые атаки. По нашим оценкам, технические навыки TinyScouts совершенно точно не ниже, чем у группировки, стоящей, например, за атаками Silence, а в технических аспектах доставки ПО на машину жертвы TinyScouts даже превосходят их, хотя и уступают APT-группировкам и правительственным кибервойскам", - отметил Игорь Залевский, руководитель отдела расследования инцидентов, Solar JSOC.
   То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts - как минимум, о технической готовности к ряду одновременных атак на крупные организации.

Источник: Информационно - аналитический журнал ПЛАС https://plusworld.ru/daily/cat-security-and-id/spetsialisty-solar-jsoc-vyyavili-novuyu-hakerskuyu-gruppirovku/  

14.08.2020

Обсудить новости на нашей странице на VKontakte


Новости ББТ
25.06.2026
Обновление раздела ББТ "Противодействие легализации" от 25.06.2026
25.06.2026
Обновление раздела ББТ "Бухгалтерский учет и отчетность банка" от 25.06.2026
25.06.2026
Обновление раздела ББТ "Внутренний контроль в банке" от 25.06.2026
25.06.2026
Обновление раздела ББТ "Банковские риски" от 25.06.2026
25.06.2026
Обновление раздела ББТ "Кредитные операции в банке" - от 25.06.2026 Все новости
Наши мероприятия
25.05.2026
Шиманов Д.В. "Бизнес по-русски"
24.02.2026
Холкин Д.В. "Поэзия электрификации и производительность труда: от ГОЭЛРО к эпохе ИИ"
12.02.2026
Болдырь И.А. "Обзор основных изменений банковского законодательства в VI квартале 2025 года"
02.12.2025
Мицек С.А. "Об организации науки".
02.12.2025
Шарушинская О.В. "Кредитные политика банков в условиях СВО". Все новости
Новости для банков
29.06.2026
ЦБ разрешит банкам учитывать залоги банкротов при расчете резервов
29.06.2026
Эксперты оценили, как закон о финансовом контроле повлияет на безопасность подростков и доверие в семье
29.06.2026
В России с 1 июля изменится порядок формирования кредитной истории
29.06.2026
Россияне в мае сняли со счетов в банках 550 миллиардов рублей
26.06.2026
Аксаков: регулирование криптовалют максимально приблизят к правилам рынка ценных бумаг Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
28.11.2019
Обновление Электронной Библиотеки Банка от 28.11.2019 Все новости