Национальным центром реагирования в качестве одного из основных векторов угроз для государственных органов и организаций видится использование сторонних почтовых сервисов в служебной деятельности.
В начале 2020 года мы зафиксировали очередную кампанию по рассылке вредоносного программного обеспечения (далее – ВПО) в адреса пользователей национального сегмента сети Интернет.
При этом одной из особенностей является то, что указанная кампания проводилась злоумышленниками с использованием скомпрометированных электронных почтовых ящиков реальных сотрудников, а не вымышленных личностей.
CERT.BY удалось установить — рассылка осуществлялась с 11 по 13 февраля 2020 года.
В настоящее время определены учетные записи (4), используемые для рассылки ВПО.
КОМПРОМЕТАЦИЯ
Злоумышленники получили доступ к скомпрометированным учетным записям следующих электронных ящиков:
- rkgivov@tut.by
- niipulm@tut.by
- minzcgie@tut.by
- konf.amia@tut.by
При этом сам почтовый хостинг tut.by использует сервис yandex c 2015 года (https://42.tut.by/435592) :
$ host -t mx tut.by
tut.by mail is handled by 10 mx.yandex.ru.
От имени данных электронных ящиков и осуществлялась рассылка сообщений, содержащих ВПО.
Для уточнения способа и времени получения доступа к указанным ящикам электронной почты CERT.BY направил соответствующие запросы.
РАССЫЛКА ВПО
Сообщения с содержанием ВПО были составлены на русском языке, злоумышленники использовали стандартный прием социальной инженерии, указывая актуальную для национального сегмента в период февраля 2020 года тематику писем или стандартное содержание и темы для служебной деятельности адресатов. Ниже представлен список тем, которые злоумышленники использовали в сообщениях своей рассылки:
- «Коронавирус в Беларуси подтвержден»
- «Академия МВД – материалы конференции»
Кроме того рассылаемые письма содержали ссылки (показываемая в письме и реальная ссылка обычно отличаются, в частности, в сообщении показывалась ссылка на Яндекс диск, реально ссылка загружалась с домена theslidershare[.]com, filedownload[.]email или downloadsprimary[.]com), скачивающие скрипт, который запускает скачивание нагрузки в виде pdf и распаковывает exe-файл. Далее скрипт запускает исполняемый файл (exe-файл).
КОМАНДНЫЙ ЦЕНТР
В ходе технического анализа деятельности группы злоумышленников удалось установить IP-адреса и доменные имена командных центров (C&C), которыми управляется распространяемое ВПО.
http[:]//wildboarcontest[.]com
108.170.55.202
РАСПРОСТРАНЕНИЕ
Рассматриваемая кампания получила широкое распространение среди пользователей национального сегмента сети Интернет. Мы обнаружили множество жертв в разных организациях. Адресатами рассылки стали сотрудники государственных органов и организаций, юридические и физические лица в количестве более 100.
Рассылка осуществлялась в следующие государственные органы:
- Совет Республики;
- Совет Министров;
- Министерство экономики;
- Министерство финансов;
- Министерство промышленности;
- Министерство информации;
- Государственный комитет по стандартизации;
- Ряд силовых структур, а также в адрес физических и юридических лиц.
В настоящее время расследование о деятельности указанной группы злоумышленников продолжается для выяснения различных обстоятельств и условий!
ИНДИКАТОРЫ КОМПРОМЕТАЦИИ
- wildboarcontest[.]com
- theslideshare[.]com
- filedownload[.]email
- downloadsprimary[.]com
- наличие ключа «MediaCodec» в ветке рееcтра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- наличие файла «Client Runtime Manager.exe» или «Usermode COM Manager.exe» в папке %temp% (например, C:\Users\user\AppData\Local\Temp)
Запросы и уведомления с информацией о вредоносной активности с используемой информационной инфраструктурой отправлены в адреса регистраторов соответствующих доменных имен.
Вместе с тем напоминаем, что предотвратить данную угрозу значительно проще, чем ликвидировать.
В свою очередь государственные органы и организации обязаны соблюдать требования нормативных правовых актов Республики Беларусь, а в применении к описанному инциденту — утверждённые указом Президента Республики Беларусь от 1 февраля 2010 г №60 «О мерах по совершенствованию использования национального сегмента сети Интернет», а именно:
- в случае отсутствия возможности размещения почтовых сервисов на собственных площадях необходимо получать данную услугу у уполномоченных поставщиков интернет-услуг, расположенных в Республике Беларусь
- использовать рекомендации по обеспечению безопасности информации в локальных сетях, подключённых к сети Интернет и обрабатывающих общедоступную информацию (https://oac.gov.by/recommendations-for-government-agencies).
Физическим лицам следует соблюдать ряд правил и рекомендаций:
- проверять, не появлялся ли Ваш ящик в списках скомпрометированных (например, используя сервис https://haveibeenpwned.com/). В случае положительного результата — сменить пароль;
- не использовать слабый пароль, например, год рождения, повторяющиеся цифры и стандартную комбинацию символов и тому подобное;
- не использовать 1 пароль на нескольких виртуальных сервисах;
- внимательно относится к присланной информации, в том числе от реальных и даже знакомых отправителей;
- не переходить по ссылкам в подобных письмах, не открывать вложенные файлы и тем более не распаковывать архивы с предлагаемым паролем.
В случае получения писем с описанными признаками обращайтесь в CERT.BY
