В Байнете фиксируется новая кампания по рассылке и заражению вредоносным программным обеспечением (далее – ВПО) пользователей национального сегмента сети Интернет. Рассылки направлены на физических лиц, предприятия частного и государственного секторов, а также силовые ведомства, госорганы и организации.
Фишинговая рассылка
Сообщения, содержащие вредоносные ссылки, составлены на русском языке, злоумышленники используют стандартный прием социальной инженерии, используя актуальную в данный период тематику. Ниже представлен список тем, которые злоумышленники использовали в сообщениях своей рассылки:
- «Материалы — введение поправок»
- «Материалы для публикации»
- «Еще одна жертва протестов в Беларуси!»
Примеры писем со ссылками на скачивание ВПО представлены ниже. Причем следует обратить внимание на адрес, по которому происходит переход при нажатии на ссылку «materialy.zip».
Распространение
Рассматриваемая кампания направлена на очень большое количество пользователей национального сегмента сети Интернет. Среди адресатов рассылки оказались физические лица, сотрудники предприятий частного и государственного секторов различной направленности, а также силовых ведомств, госорганов и организаций.
Ниже представлен список некоторых из них:
- Министерство транспорта и коммуникаций;
- Министерство труда;
- Государственный комитет по имуществу;
- Мингорисполком;
- Национальная государственная телерадиокомпания;
- Министерство обороны;
- и ряд других силовых структур, физических и юридических лиц.
В ходе расследования названных инцидентов выявлено несколько десятков хостов в нашем сегменте сети Интернет, которые, предположительно, заражены ВПО, распространяемым в указанных фишинговых письмах. На данный момент проводится оповещение пользователей и проверка информации.
Признаки фишинговых писем и индикаторы компрометации
Отправители (могут отличаться):
- yulia.matveeva.94@mail.ru;
- andrey.sitak@bk.ru;
- vetlana.markelova.94@mail.ru;
- mariya.novoselova89@inbox.ru;
- ailebedev@inbox.ru;
- sitak.sergey@mail.ru;
- mariya.novoselova89@inbox.ru;
- mdkuznetsov@bk.ru;
- sashabahonovich@tut.by;
- svetlana.markelova.94@mail.ru;
- olga.buzovaa@mail.ru;
- igor.sitak@bk.ru.
URLs:
- hxxps://download-365[.]com/download_files/download.php?u=cf37dafa-939c-412e-a653-d6b01737c870
- hxxps://download-365[.]com/download_files/download.php?u=3b81c594-3700-4056-a1e7-675865b8e4ec
- hxxps://download-365[.]com/download_files/download.php?u=4df6e316-676d-4b9d-9ad3-8f8536ecd530
- hxxps://download-365[.]com/filedownload/download.php?u=cf37dafa-939c-412e-a653-d6b01737c870
- hxxps://download-365[.]com/filedownload/download.php?u=db810273-30b5-4887-894b-ec84e9bd7f96
- hxxps://download-365[.]com/filedownload/download.php?u=033d4773-c8fd-405d-92ff-eec61edb6c75
- hxxps://download-365[.]com/filedownload/download.php?u=33560fe7-48d1-46b4-8a4b-1847f3071374
- hxxps://download-365[.]com/filedownload/download.php?u=befe7355-64c7-4be9-a700-5d85ee66a55e
- hxxps://download-365[.]com/filedownload/download.php?f=rtf-dwnxcr28tw974234&u=e7794864-36dc-4adc-8b1b-ebabb832b5c2
- hxxps://download-click[.]net/download/download.php?u=f195b4fb-b3cb-4549-b1c7-0f5c25d2cf90
- hxxps://365downloading[.]com/download-zip4/download.php?u=2e1edfe9-32b3-46a3-bac7-9a88a8d221c4
- hxxps://365downloading[.]com/download-doc3/download.php?u=8b001f5a-be0d-4eca-8190-6db8f8024532
Названия ссылок:
- materialy.zip;
- podgotovlennyye_materialy.zip.
Адрес командного центра ВПО (C&C):
185.38.151.11
Рекомендации
- Остерегайтесь любых электронных писем, пытающихся заставить Вас открывать вложения или переходить по ссылкам.
- Всегда будьте внимательными и осторожными с любыми электронными письмами, отправителями которых являются как лица или организации, от которых Вы обычно не получаете письма, так и от тех, с кем Вы регулярно общаетесь (ящик отправителя может быть подделан либо скомпрометирован).
- Соблюдайте правила «цифровой гигиены».
Дополнительно
В ходе расследования инцидентов, связанных с зафиксированной кампанией, установлено, что некоторые госорганы и организации используют сторонние почтовые сервисы (например: gmail.com, mail.ru, yandex.ru, tut.by и др.) в своей деятельности.
Напоминаем!
Государственные органы и организации обязаны соблюдать требования нормативных правовых актов Республики Беларусь, а применительно к описанной ситуации — руководствоваться Указом Президента Республики Беларусь от 1 февраля 2010 г. № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет», а именно:
- в случае отсутствия возможности размещения почтовых сервисов на собственных площадях необходимо получать данную услугу у уполномоченных поставщиков интернет-услуг, расположенных в Республике Беларусь;
- использовать рекомендации по обеспечению безопасности информации в локальных сетях, подключенных к сети Интернет и обрабатывающих общедоступную информацию (https://oac.gov.by/recommendations-for-government-agencies).
В случае получения писем с описанными признаками просим сообщить об этом в адрес CERT.BY, переслав на почту support@cert.by.
Новыe подробности расследования инцидента и IoC смотри в следующей статье