Еще одна атака из «семейства Duke» нацелена на высокопоставленные организации, в том числе правительственные учреждения США.
В этот раз это угроза под названием CozyDuke, также известная как CozyBear, CozyCar или «Офисные обезьяны» (Office Monkeys) — в честь видео, служащего приманкой.
Атака эта весьма сложна и задействует шифрование компонентов, способность избегать обнаружения и достаточно разнообразный набор вредоносных компонентов, по структуре схожий с MiniDuke, CosmicDuke и Onion Duke. Стоит отметить, что метод проникновения основан исключительно на принципах социальной инженерии, а это, к сожалению, довольно действенная техника, используемая во многих целевых атаках.
В качестве приманки хакеры используют уморительное видео об обезьянах, работающих в офисе. Архив, содержащий исполняемый видеофайл, распространяется через направленные фишинговые атаки. Вредоносное письмо содержит вложенные файлы или ссылку на веб-сайт. В некоторых случаях это может быть даже настоящий популярный сайт, но уже скомпрометированный злоумышленниками.
Пока воспроизводится видеоролик, в системе устанавливается загрузчик, ожидающий, пока командный сервер отдаст команду на загрузку вредоносных компонентов, необходимых для проведения атаки.
Киберпреступники не прогадали, поставив на то, что многие из получателей писем воспроизведут видео. Более того, жертвы, естественно, продолжали обмен сообщениями и пересылали зараженный ролик коллегам и тем самым помогали злоумышленникам распространить вредоносный файл. Учитывая уровень организаций, оказавшихся под прицелом злоумышленников, можно только догадываться, какие объемы конфиденциальной информации могли быть похищены в ходе атаки.
Вопрос в следующем: как справиться с такой опасной угрозой, когда даже доверенные сотрудники, по сути, играют против ваших систем безопасности, пусть даже и невольно? Недооценивать силу техник социальной инженерии нельзя: например, кто из надежных сотрудников не откроет письмо, якобы отправленное начальником?
Как справиться с «Офисными обезьянами»?
На самом деле справиться даже с самыми изощренными и хорошо спланированными APT-атаками помогут весьма приземленные правила и стратегии. Например, простое отключение прав администратора на компьютерах сотрудников, своевременное применение патчей против уязвимостей и ограничение количества разрешенных приложений могут на 85% снизить число инцидентов, возникающих в результате направленных атак.
Для этого могут пригодиться средства контроля над приложениями с динамическими принципами формирования белых списков (Dynamic Whitelisting). При использовании данной функции видео с обезьянами (равно как и остальные вредоносные компоненты CozyDuke) даже нельзя было бы воспроизвести без одобрения со стороны администратора.
Некоторые сотрудники, не наделенные высоким уровнем ответственности, тем не менее, могут иметь ежедневный доступ к конфиденциальной переписке. В таком случае стоит строго ограничивать возможность запуска исполняемого файла только в случае абсолютной необходимости для работы доверенных программ и компонентов ОС, используемых в каждодневной работе сотрудника.
Приведем ряд полезных рекомендаций, особенно актуальных для правительственных организаций и строго регулируемых предприятий:
Мыслите более широко
До того как непосредственно начать атаку, APT-группировка проводит рекогносцировку, выясняя все о своей цели, в том числе о сотрудниках, бизнес-процессах, а также особенностях ИБ-решений, применяемых в организации. Подобное «досье» помогает злоумышленникам выявить бреши в безопасности и обойти существующие защитные механизмы.
Таким образом, чтобы не сломаться под APT-атакой, абсолютно необходимо применять многоуровневый подход к реализации мер защиты, дополняя надежный антивирус активными механизмами безопасности, защищающими различные элементы ИТ-инфраструктуры. Вооружившись данным арсеналом и подготовившись к вероятным атакам, вы можете стать крепким орешком для APT-кампаний.
Axarhöfði 14,
110 Reykjavik, Iceland