Исследование Positive Technologies: злоумышленники атакуют ИТ-специалистов для взлома более крупных целей

Эксперты Positive Technologies провели исследование[1] актуальных киберугроз за III квартал 2024 года. Оно показало, что чаще остальных атакам на частных лиц подвергались ИТ-специалисты. Злоумышленники через них получали возможность проникать в ИТ-компании и реализовывать атаки на цепочки поставок[2]. Хакеры использовали вредоносную рекламу, ВПО, а также назначали фиктивные собеседования, на которых вынуждали специалистов загрузить ВПО.

Исследование показало, что количество инцидентов на частных лиц и на организации увеличилось на 15% по сравнению с аналогичным периодом предыдущего года. Эксперты выявили, что одними из самых атакуемых частных лиц стали ИТ-специалисты (13%). Атаки на них совершались с использованием ВПО — оно стало одним из распространенных методов атак (72%) на частных лиц в III квартале. Для заражения им злоумышленники использовали фейковые собеседования, менеджеры пакетов и публичных репозиториев, а также вредоносную рекламу.

«Рост числа атак на ИТ-специалистов, помимо финансовой выгоды, можно объяснить желанием перейти к более крупным целям, например к компаниям, в которых они работают. Кроме того, используя ИТ-специалистов в качестве начальной точки атаки, киберпреступники могут вклиниться в цепочку поставок программного обеспечения и нанести непоправимый вред большому количеству организаций. Эксперты по кибербезопасности отмечают, что в 2024 году такие атаки происходили как минимум раз в два дня», — рассказала Валерия Беседина, младший аналитик исследовательской группы Positive Technologies.

Исследователи Positive Technologies отметили, что кадровый дефицит на рынке ИТ-специалистов в России достигает 500–700 тысяч человек, а количество специалистов, публикующих резюме, выросло на 7%. Такая ситуация позволяет злоумышленникам применять тактику подставных собеседований. Киберпреступники проводят фиктивное интервью, на котором вынуждают разработчика загрузить ВПО. Злоумышленники используют разные способы воздействия: например, решение задачи может требовать загрузки вредоносного кода, приложение для видеоконференции может содержать ВПО.

В III квартале в атаках на ИТ-специалистов прослеживался тренд на использование ВПО для удаленного управления — remote access trojan (RAT). Оно позволяет злоумышленникам иметь постоянный доступ к скомпрометированным системам. RAT распространялся через менеджеров пакетов и публичные репозитории, а также вредоносную рекламу. Злоумышленники создавали и продвигали в поисковой системе сайты, имитирующие популярное программное обеспечение для сетевого сканирования, на которых скрывался RAT. Исследователи обнаружили метод, основанный на политике удаления пакетов PyPI[3], под названием Revival Hijack, который затронул 22 000 существующих пакетов. Пользователи не получали предупреждения об удалении пакетов и обновляли их, не подозревая, что их используют злоумышленники.

По данным исследования, в атаках на организации также чаще всего использовалось ВПО для удаленного управления (44%) и шифровальщики (44%). В 79% успешных атак были скомпрометированы компьютеры, серверы и сетевое оборудование. Самыми популярными среди киберпреступников инструментами стали AsyncRAT[4], XWorm[5] и SparkRAT[6]. Эксперты PT Expert Security Center зафиксировали фишинговые рассылки в виде счетов, нацеленные на промышленные предприятия, банки, сферу здравоохранения и разработчиков программного обеспечения в России. Такие фишинговые атаки в конечном итоге приводили к заражению трояном XWorm.

Кроме того, злоумышленники использовали сервисы для продвижения вредоносного сайта на первое место в поисковых запросах, распространяя шпионское ПО. В III квартале киберпреступники распространили таким образом малвари DeerStealer[7], Atomic Stealer[8] и Poseidon Stealer[9].

Социальная инженерия по-прежнему является ключевой угрозой для частных лиц (92%) и применяется в половине (50%) атак на организации. Основным каналом социальной инженерии для организаций остается электронная почта (88%), для частных лиц — сайты (73%). Следствиями атак на организации стали утечки конфиденциальных данных (52%), а также нарушение основной деятельности организаций (32%).

Эксперты Positive Technologies рекомендуют компаниям выстраивать результативную кибербезопасность. Она направлена на создание комплексной автоматизированной системы защиты от недопустимых событий — последствий кибератак, которые могут сделать невозможным достижение операционных и стратегических целей компании. Для защиты от ВПО рекомендуется использовать песочницы, которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и вовремя предотвратить ущерб. Эксперты также советуют внедрить NTA-систему, например PT Network Attack Discovery, которая детектирует все современные киберугрозы, в том числе использование вредоносного и шпионского ПО, активность шифровальщиков в сети. Рекомендуется проводить регулярную инвентаризацию и классификацию активов, устанавливать политики разграничения доступа к данным, осуществлять мониторинг обращения к чувствительной информации. Эксперты советуют использовать MaxPatrol SIEM для непрерывного отслеживания событий ИБ и оперативного выявления кибератак. Кроме того, необходимо выстроить процессы управления уязвимостями с помощью MaxPatrol VM, проводить тестирования на проникновение (в том числе автоматизированные) и участвовать в программах багбаунти.

Учитывая увеличивающееся число атак с распространением ВПО через легитимные сервисы, разработчикам следует внимательно относиться к используемым репозиториям и менеджерам пакетов в своих проектах, внедрить инструменты application security, например PT Application Inspector. Для защиты периметра рекомендуется применять межсетевые экраны уровня приложений — PT Application Firewall. Для предотвращения возможных утечек корпоративной информации важно уделить внимание защите данных. Специалистам следует быть осторожными в сети, не переходить по подозрительным ссылкам и не скачивать вложения из непроверенных источников.

[1] Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies (PT Expert Security Center), результатах расследований, а также на данных авторитетных источников. В рамках отчета каждая массовая атака рассматривается как одна отдельная, а не как несколько.
[2] Кибератака, в ходе которой злоумышленники взламывают компанию путем компрометации поставщиков ПО или оборудования.
[3] PyPI — каталог программного обеспечения, написанного на языке программирования Python.
[4] AsyncRAT — вредоносное ПО, которое применяет шифрование и сжатие данных, а затем загружает дополнительные компоненты для расширения своих возможностей.
[5] XWorm — троян удаленного доступа, нацеленный на операционные системы Windows. Он хорошо маскируется и выполняет широкий спектр вредоносных действий: от удаленного управления рабочим столом до внедрения программ-вымогателей и кражи информации.
[6] SparkRAT — инструмент с открытым исходным кодом, написанный на Go, универсальный троян удаленного администрирования, опасен для систем Windows, macOS, Linux.
[7] DeerStealer — вредоносная программа, предназначенная для кражи личных данных пользователя. Вся украденная информация сразу же отправляется на сервер злоумышленников.
[8] Atomic Stealer — вредоносная программа, которая способна собирать конфиденциальную информацию с зараженных устройств, включая пароли, сессионные куки, данные криптокошельков, метаданные системы.
[9] Poseidon Stealer — вредоносная программа, предназначенная для извлечения широкого спектра конфиденциальной информации с устройств под управлением macOS.