В рамках международного взаимодействия Национальная команда реагирования на киберинциденты Республики Беларусь (CERT.BY) в I квартале 2025 г. реализовала комплекс мероприятий, направленных на противодействие распространению киберугроз и минимизацию потенциального ущерба в национальном сегменте сети Интернет.
В ходе мониторинга было выявлено проведение фишинговой рассылки электронных писем, содержащих вредоносное программное обеспечение. Анализ ВПО показал, что в качестве исполняемого файла использовался стиллер «Snake Keylogger» – вредоносная программа, предназначенная для сбора учетных данных веб-браузеров, захвата содержимого буфера обмена, получения информации о системе, IP-адресе и географическом положении зараженного хоста, а также логирования нажатий клавиш и создания скриншотов экрана.
Программа распространяется по модели Malware-as-a-Service (MaaS) и предоставляется злоумышленниками на коммерческой основе заинтересованным сторонам.
Пример фишингового письма
Зафиксированная CERT.BY фишинговая рассылка осуществлялась с нескольких ящиков электронной почты, в том числе с ранее скомпрометированной корпоративной почтовой учетной записи государственного предприятия, размещенной у неуполномоченного поставщика услуг.
Авторизация проводилась через почтовый сервис общества с ограниченной ответственностью «Активные технологии» webmail.active[.]by:25 по протоколу SMTP.
Отправленные письма и логи авторизации не сохранились, так как владелец не произвел необходимую дополнительную настройку своего сервиса, а непосредственно сам протокол SMTP предназначен исключительно для передачи писем от отправителя к почтовому серверу или между серверами и не управляет хранением или удалением писем.
Выявленные последствия.
В ходе расследования были установлены случаи компрометации хостов как в государственном, так и в частном секторе Республики Беларусь. В частности, заражению подверглись организации следующих отраслей:
- ритейла
- интернет-торговли
- онлайн-сервисов
- банковской сферы
Выявленные признаки выявленных фишиговых рассылок:
Зафиксированные адресанты:
- info@svyaznoy[.]com
- cfo@tteb[.]shop
Темы писем:
- предложение запроса заказа
- Re: NPZ Contract
- RFQ-PR 1-62557 & 38929 CÔNG TY TNHH TECH BINH THANH ORDER
Вложения:
в ряде случаев файл встречался непосредственно в письме, а в иных — скачивался дополнительно
- предложение запроса заказа.rar (md5 — 2a0c3095492e2181d5db0c16f56d73b7) — содержит сам заархивированный экземпляр
- NPZ contract.pdf (md5 — 208414e07351f4a89629e13f8aa71351) — содержит ссылку на скачивание
- Scan_document00098982998943.pdf (md5 — 510e9ccfa9bb6b87b86d769c7294d954) — содержит ссылку на скачивание
- AVB818124.rar (md5 — a58e96364fe93706f5dda404ff6852e2) — дроппер, который собирает следующую стадию ВПО (snakekeylogger), но сетевого взаимодействия у данного дроппера не выявлено
- Remington.exe (md5 — 4c8c1ceb91408ad5a5011b56b325419e) — SnakeKeylogger
Сетевые признаки дропперов:
- https[:]//rb[.]gy/86gjwk -> https[:]//www.dropbox[.]com/scl/fi/lq69tvtf0xr0evosfz524/Scan-documents64567436872q39878pdf342677909.rar?rlkey=97kzboq250ul2l9zjdyj1e82n&st=hk1eolj7&dl=1
- https[:]//sustainabuz[.]com/redir.html ->https[:]//ucarecdn[.]com/284fd1ce-7457-44c8-a85c-8eea6e7f15ea/Scan_document0021000900000000[.]zip
- https[:]//ucarecdn[.]com/02bd07f9-33de-4055-ab8c-318038bcceb6/ScanDocument00975486728724[.]zip
Сетевые признаки SnakeKeylogger:
- FTP — 50.31.176[.]103
- checkip.dyndns[.]org (158.101.44[.]242, 193.122.130[.]0)
- reallyfreegeoip[.]org (188.114.97[.]11, 188.114.97[.]0, 104.21.67[.]152)
- srv256.prodns[.]com.]br (162.241[.]203.25)
- api.telegram[.]org (149.154.167[.]220)
- unassigned.quadranet[.]com (69.174.100[.]131)
- aborters.duckdns[.]org (192.169.69.26)
- 51.38.247[.]67
Сетевые признаки SnakeKeylogger (обращения на API Telegram и сервисы для проверки IP являются «слабыми» признаками и требуют проверки легитимности).
В связи со всем вышеперечисленным CERT.BY рекомендует придерживаться следующих правил:
- Не использовать «слабые» пароли, включая простые числовые последовательности, дату рождения, повторяющиеся символы или иные легко угадываемые комбинации.
- Исключить практику применения одного и того же пароля для различных сервисов и учетных записей.
- Проявлять повышенное внимание к содержимому электронных писем, включая сообщения от известных отправителей, поскольку их почтовые ящики могут быть подделаны либо скомпрометированы.
- Не переходить по гиперссылкам в письмах, вызывающих сомнения, не открывать вложения и в особенности не распаковывать архивы, защищенные паролем, полученные из ненадежных источников.
- В случае возникновения сомнений в подлинности или безопасности электронных сообщений, ссылок либо файлов – незамедлительно обращаться за консультацией к специалистам по информационной безопасности или системным администраторам своей организации.
Также рекомендуем провести проверку информационных систем и персональных компьютеров на наличие вышеуказанных признаков, а также следовать нашим рекомендациям и следить за обновлениями.
При обнаружении просим сообщить на электронную почту CERT.BY: support@cert.by.
Для удобства и своевременного оповещения о новостях подписывайтесь на нас
в социальных сетях:
