Кампания по рассылке вредоносного ПО (обновлено)

Национальным центром реагирования в качестве одного из основных векторов угроз для государственных органов и организаций видится использование сторонних почтовых сервисов в служебной деятельности.

В начале 2020 года мы зафиксировали очередную кампанию по рассылке вредоносного программного обеспечения (далее – ВПО) в адреса пользователей национального сегмента сети Интернет.

При этом одной из особенностей является то, что указанная кампания проводилась злоумышленниками с использованием скомпрометированных электронных почтовых ящиков реальных сотрудников, а не вымышленных личностей.

CERT.BY удалось установить — рассылка осуществлялась с 11 по 13 февраля 2020 года.

В настоящее время определены учетные записи (4), используемые для рассылки ВПО.

КОМПРОМЕТАЦИЯ

Злоумышленники получили доступ к скомпрометированным учетным записям следующих электронных ящиков:

  • rkgivov@tut.by
  • niipulm@tut.by
  • minzcgie@tut.by
  • konf.amia@tut.by

При этом сам почтовый хостинг tut.by использует сервис yandex c 2015 года (https://42.tut.by/435592) :

$ host -t mx tut.by

tut.by mail is handled by 10 mx.yandex.ru.

От имени данных электронных ящиков и осуществлялась рассылка сообщений, содержащих ВПО.

Для уточнения способа и времени получения доступа к указанным ящикам электронной почты CERT.BY направил соответствующие запросы.

РАССЫЛКА ВПО

Сообщения с содержанием ВПО были составлены на русском языке, злоумышленники использовали стандартный прием социальной инженерии, указывая актуальную для национального сегмента в период февраля 2020 года тематику писем или стандартное содержание и темы для служебной деятельности адресатов. Ниже представлен список тем, которые злоумышленники использовали в сообщениях своей рассылки:

  • «Коронавирус в Беларуси подтвержден»
  • «Академия МВД – материалы конференции»

Кроме того рассылаемые письма содержали ссылки (показываемая в письме и реальная ссылка обычно отличаются, в частности, в сообщении показывалась ссылка на Яндекс диск, реально ссылка загружалась с домена theslidershare[.]com, filedownload[.]email или downloadsprimary[.]com), скачивающие скрипт, который запускает скачивание нагрузки в виде pdf и распаковывает exe-файл. Далее скрипт запускает исполняемый файл (exe-файл).

КОМАНДНЫЙ ЦЕНТР

В ходе технического анализа деятельности группы злоумышленников удалось установить IP-адреса и доменные имена командных центров (C&C), которыми управляется распространяемое ВПО.

http[:]//wildboarcontest[.]com

108.170.55.202

РАСПРОСТРАНЕНИЕ

Рассматриваемая кампания получила широкое распространение среди пользователей национального сегмента сети Интернет. Мы обнаружили множество жертв в разных организациях. Адресатами рассылки стали сотрудники государственных органов и организаций, юридические и физические лица в количестве более 100.

Рассылка осуществлялась в следующие государственные органы:

  • Совет Республики;
  • Совет Министров;
  • Министерство экономики;
  • Министерство финансов;
  • Министерство промышленности;
  • Министерство информации;
  • Государственный комитет по стандартизации;
  • Ряд силовых структур, а также в адрес физических и юридических лиц.

В настоящее время расследование о деятельности указанной группы злоумышленников продолжается для выяснения различных обстоятельств и условий!

ИНДИКАТОРЫ КОМПРОМЕТАЦИИ

  • wildboarcontest[.]com
  • theslideshare[.]com
  • filedownload[.]email
  • downloadsprimary[.]com
  • наличие ключа «MediaCodec» в ветке рееcтра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • наличие файла «Client Runtime Manager.exe» или «Usermode COM Manager.exe» в папке %temp% (например, C:\Users\user\AppData\Local\Temp)

Запросы и уведомления с информацией о вредоносной активности с используемой информационной инфраструктурой отправлены в адреса регистраторов соответствующих доменных имен.

Вместе с тем напоминаем, что предотвратить данную угрозу значительно проще, чем ликвидировать.

В свою очередь государственные органы и организации обязаны соблюдать требования нормативных правовых актов Республики Беларусь, а в применении к описанному инциденту — утверждённые указом Президента Республики Беларусь от 1 февраля 2010 г №60 «О мерах по совершенствованию использования национального сегмента сети Интернет», а именно:

  • в случае отсутствия возможности размещения почтовых сервисов на собственных площадях необходимо получать данную услугу у уполномоченных поставщиков интернет-услуг, расположенных в Республике Беларусь
  • использовать рекомендации по обеспечению безопасности информации в локальных сетях, подключённых к сети Интернет и обрабатывающих общедоступную информацию (https://oac.gov.by/recommendations-for-government-agencies).

Физическим лицам следует соблюдать ряд правил и рекомендаций:

  • проверять, не появлялся ли Ваш ящик в списках скомпрометированных (например, используя сервис https://haveibeenpwned.com/). В случае положительного результата — сменить пароль;
  • не использовать слабый пароль, например, год рождения, повторяющиеся цифры и стандартную комбинацию символов и тому подобное;
  • не использовать 1 пароль на нескольких виртуальных сервисах;
  • внимательно относится к присланной информации, в том числе от реальных и даже знакомых отправителей;
  • не переходить по ссылкам в подобных письмах, не открывать вложенные файлы и тем более не распаковывать архивы с предлагаемым паролем.

В случае получения писем с описанными признаками обращайтесь в CERT.BY