У кибер-преступников имеется множество способов проникнуть в ИТ-системы своих жертв: уязвимости, социальные сети и даже обычная почта. Но все же самый популярный способ – это электронная почта: по данным различных источников 91% кибер-преступлений начинается с фишингового электронного письма.

Quasar: новая версия популярной тактики

В конце августа исследователи в сфере информационной безопасности обнаружили новую фишинговую кампанию, которая использует особо изворотливый метод для проникновения вредоносной программы в ИТ-систему компаний: угроза доставляется в скрытой форме в файле с резюме, отправляемого в виде вложения от лица человека, который предположительно ищет работу в данной организации. Цифровые платформы для отделов кадров имеют как положительные, так и отрицательные стороны. С одной стороны, они могут помочь значительно упростить процесс отбора кандидатов. Но с другой стороны у них есть некоторые явно слабые места, среди которых выделяется и ИТ-безопасность. Кибер-преступники пользуются тем фактом, что компании получают десятки документов, связанных с процессами отбора кандидатов, а потому отправляют документы, содержащие вредоносные программы.

В проанализированном случае вредоносная программа, которая была доставлена с резюме, называлась Quasar, и она является трояном удаленного доступа (RAT) – такие типы угроз особо популярны среди постоянных угроз повышенной сложности (APT). Это указывает на то, что данная кампания проводится профессиональными кибер-преступниками, которые стремятся использовать этот инструмент для эксплуатации сетей своих жертв, кражи их данных или даже шифрования их систем с помощью шифровальщика.

Обманчиво простая кампания

На первый взгляд кампания кажется относительно простой: вредоносный документ Word, вложенный в электронное письмо. Однако более детальное расследование показало, что злоумышленники точно знают, что они делают. Начнем с того, что использование легко доступного инструмента (Quasar доступен на GitHub) значительно затрудняет ассоциацию этой кампании с какой-либо конкретной группой злоумышленников.

Документ Word также содержит несколько методов для преодоления защиты: он защищен с помощью пароля и содержит внутри себя макрос. Используемый пароль 123 не выглядит особо инновационным. Однако для автоматизированных систем, которые отдельно анализируют вложения и электронные письма, это означает, что документ будет открыт без обнаружения какой-либо вредоносной активности, поскольку система не определит необходимость пароля для доступа к полной информации.

Если бы аналитик или автоматизированная система попытались проанализировать макрос, то, скорее всего, они потерпели бы неудачу и сбой, потому что содержащиеся в нем более 1200 строк «мусорного» кода потребляли бы слишком много памяти. В результате этого очень сложно обнаружить URL конечной полезной нагрузки.

Последняя мера, позволяющая избежать обнаружения, - это загрузка самораспаковывающегося исполняемого файла, который распаковывает 401 МБ двоичного кода Quasar RAT. Такой специально созданный большой файл нужен для того, чтобы данный RAT нельзя было отправить на веб-сайт VirusTotal, где можно сделать его экспресс-анализ. Как результат, такую угрозу очень сложно анализировать.

Есть ли какой-то способ избежать этой угрозы?

Хотя может показаться, что такого рода угрозу невозможно остановить, тем не менее, такие способы существуют. Первое, что необходимо сделать, - это провести разъяснительную беседу для самого слабого звена в информационной безопасности любой компании, т.е. среди своих сотрудников вне зависимости от того, в каком отделе они работают.

Очень важно, чтобы они могли распознавать подозрительные электронные письма, какими бы подлинными они ни казались: они должны знать, что никогда нельзя открывать вложенные файлы в письмах неизвестных отправителей, а в том случае, если у них имеются хотя бы малейшие сомнения, им следует обратиться в ИТ-отдел, чтобы выяснить свои дальнейшие действия.

Другой важный шаг – это наличие в компании передовых решений информационной безопасности с опциями расширенной защиты. Panda Adaptive Defense оснащен анти-эксплойтной технологией, которая способна обнаруживать вредоносные скрипты и макросы. Кроме того, решение постоянно анализирует все процессы в системе, а также работу активных приложений. Таким образом, если решение обнаруживает любую подозрительную или необычную активность, оно может остановить соответствующий процесс, и, следовательно, предотвратить распространение кибер-угрозы, способной причинить организации серьезный ущерб.

Усилия кибер-преступников по проникновению в организации и обходу мер защиты никогда не прекратятся, постоянно развиваясь и становясь более изощренными. Вот почему крайне важно, чтобы вы следили за своей электронной почтой – одной из наиболее популярных точек входа для кибер-преступников, а также всегда были в курсе последних тенденций в области информационной безопасности.