Зиянкестер Telegram-дағы қаржылық арналар арқылы троянды таратуда
«Лаборатория Касперского» Глобалдық қауіп-қатерлерді зерттеу және талдау орталығының (GReAT) мамандары қаржы және трейдинг саласындағы пайдаланушылар мен компанияларға бағытталған зиянды кампанияны анықтады. Зиянкестер арнайы Telegram арналары арқылы құрылғыға қашықтықтан қол жеткізуге және деректерді ұрлауға мүмкіндік беретін троянды таратуда. Шабуылдар 20-дан астам елде, оның ішінде Қазақстанда да тіркелген.
Зақымданудың негізгі векторы
Зиянкестер Telegram жазбаларына ішінде зиянды файлдары бар архивтерді (.lnk, .com және .cmd кеңейтулерімен) тіркейді. Пайдаланушы бұл файлдарды ашса, құрылғыға зиянды бағдарламалық жасақтама — DarkMe трояны жүктеледі. Бұл троян зиянкестердің серверінен қашықтан командаларды орындауға және деректерді ұрлауға мүмкіндік береді.
Шабуылдаушылар жұқтыру іздерін мұқият жасыруға тырысқан. Мысалы, зиянды бағдарлама орнатылғаннан кейін DarkMe имплантын жеткізу үшін пайдаланылған файлдарды өшіріп тастайды. Сондай-ақ, файлға артық кодтар мен жолдар қосу арқылы имплант файлының өлшемін ұлғайтып, атрибуцияны күрделендіріп, анықтаудан жалтаруды қиындатқан. Шабуылдаушылар басқа да іздерді жасырып отырған: өз тапсырмаларын орындағаннан кейін, олар пост-эксплуатация фазасында пайдаланылған файлдарды, құралдарды және реестр кілттерін өшіріп, оқиғаны анықтау мен тергеуді қиындатқан.
Шабуылдар кімнің ісі
Кампания, көрінгендей, DeathStalker (бұрынғы атауы Deceptikons) тобына тиесілі болуы мүмкін. Бұл топ кем дегенде 2018 жылдан бері, кейбір деректер бойынша 2012 жылдан бері әрекет етеді. Зиянкестер «кибержалдамалы» ретінде қызмет етеді, яғни хакерлік қызметтер көрсетіп, қаржылық барлау жұмыстарымен айналысады: әртүрлі коммерциялық, қаржылық және жеке ақпаратты, мысалы, бәсекелестер пайдасына жинайды. Негізінен топ шағын және орта бизнеске, финтех компанияларға, қаржы және заң ұйымдарына шабуыл жасайды. Шабуылдарға қарағанда, DeathStalker құрамында өз құралдарын әзірлей алатын және киберқауіп-қатер ландшафтын жақсы түсінетін зиянкестер бар.
«Дәстүрлі фишинг әдістерінің орнына шабуылдаушылар Telegram арналары арқылы зиянды бағдарламаны таратуды қолданды. Бұрынғы кампанияларда олар құрылғыларды жұқтыру үшін Skype сияқты басқа байланыс платформаларын да қолданған. Мессенджер ықтимал құрбандарға фишингтік сайтқа қарағанда көбірек сенім ұялатады. Сондай-ақ, мұндай қосымшалардан файл жүктеу интернеттен жүктеуге қарағанда қауіпсіздеу болып көрінуі мүмкін», — деп түсіндіреді Kaspersky GReAT жетекші сарапшысы Татьяна Шишкова. «Біз әдетте әртүрлі электрондық хаттар мен сілтемелерге сақтықпен қарауды ұсынамыз, бірақ бұл кампания басқа ресурстарды, соның ішінде Skype және Telegram сияқты байланыс қосымшаларын пайдаланған кезде де сақ болудың маңызды екенін көрсетті».
Онлайн-қатерлерден қорғану үшін сарапшылар пайдаланушыларға кеңес береді:
• сенімді жеткізушінің қорғау шешімін орнату;
• түрлі қатерлерге төтеп беру үшін киберсауаттылық деңгейін арттыру, мысалы, ақпараттық қауіпсіздік саласында мамандандырылған компаниялардың блогтарын оқу.
Компанияларға:
• киберқауіптерді жылдам анықтап, жоюға көмектесу үшін ақпараттық қауіпсіздік мамандарына киберқауіптер туралы жаңартылған ақпаратқа қол жеткізу мүмкіндігін беру;
• әлеуметтік инженерия әдістерін қолданатын сәтті шабуылдардың ықтималдығын төмендету үшін қызметкерлерге арналған оқыту тренингтерін тұрақты өткізу.