Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

root

Staff member
Full members of NP "MOD"
Joined
Feb 17, 2007
Messages
678
Reaction score
1,026
Points
93
Любимые тактики хакерских группировок
Взлом компьютерных систем может происходить по-разному — от изощренных атак со взломом сетевых компонент до технически примитивных техник типа компрометации деловой переписки. В этом посте мы разберём тактики, которые используют самые опасные хакерские группировки — Lazarus, Pawn Storm, Cobalt, Silence и MoneyTaker.
Один из важнейших критериев выбора хакерских инструментов, помимо степени владения ими участников группировки, — это эффективность. Современные кибератаки — сложные многоступенчатые операции, проведение которых требует много времени и серьёзных финансовых ресурсов. Если проникновение в систему не удастся, вся предварительная работа и затраты окажутся напрасными. Таким образом, тактики проникновения в системы, которые используют ведущие группировки, можно рассматривать в качестве наиболее эффективных.

В числе таких тактик следует выделить:
  1. все виды фишинга — классический, целевой, фишинг через социальные сети, tabnabbing;
  2. атаки на цепочки поставок;
  3. атаки типа Watering Hole («водопой»);
  4. атаки через уязвимости сетевого оборудования и операционных систем;
  5. атаки через перехват DNS.
По сути, все эти способы давно известны, однако каждая группировка вносит свою «изюминку», превращая просто эффективную тактику в бронебойный снаряд или изящно комбинируя несколько техник, чтобы с лёгкостью обойти системы защиты компаний.

Фишинг

В простейшем варианте фишинг — это обычный емейл, в котором содержится вредоносное вложение или ссылка. Текст письма составлен таким образом, чтобы убедить получателя выполнить нужные отправителю действия: открыть вложение или перейти по ссылке, чтобы сменить пароль.

Письма, отправленные коллегами или руководителями, вызывают больше доверия, чем послания от незнакомцев, особенно если оформление письма соответствует принятому в компании стилю. В связи с этим подготовительный этап киберкампании, использующей фишинг, обязательно включает в себя сбор сведений о структуре организации, списка сотрудников и их емейлов, а также реальных писем, содержащих элементы оформления.

Группировка Silence использует для проникновения самый обычный фишинг с небольшим нюансом: её кампании обязательно включают тестовый этап с рассылкой безвредных писем для проверки актуальности собранной базы адресов. Это позволяет повысить эффективность атаки, рассылая письма с вредоносной нагрузкой по выверенной базе получателей.

Группировка Pawn Storm также использует фишинговые рассылки, а для повышения их эффективности в них добавляется такой усилитель воздействия, как авторитет. В связи с этим подготовительный этап их кампании включает так называемый High-Credential Phishing — хищение учётных записей высокопоставленных лиц. Собрав достаточное количество таких данных по целевой организации, Pawn Storm проводит рассылку от лица этих персон, «зарядив» их полезной нагрузкой, обеспечивающей успешное достижение цели.

В арсенале приёмов Fancy Bear есть ещё один, не слишком известный, — подмена легального сайта на фишинговый во вкладках браузера — tabnabbing, описанный Азой Раскиным из Mozilla в 2010 году. Атака tabnabbing выглядит следующим образом:
  • жертву заманивают на безобидный сайт, который контролируется злоумышленником;
  • на сайте имеется скрипт, который отслеживает поведение жертвы: как только она переключается на другую вкладку или длительное время не выполняет действий, содержимое сайта меняется на страницу авторизации в почте или социальной сети, а favicon сайта на favicon соответствующего сервиса — Gmail, Facebook и т.д.
  • вернувшись на вкладку, жертва обнаруживает, что её «разлогинило» и без сомнений вводит свои учётные данные;
  • скрипт передаёт логин и пароль злоумышленнику, а затем переадресовывает жертву на соответствующий сервис, который и не думал никого разлогинивать.
Хакеры Lazarus не размениваются на мелочи, предпочитая бить точно в цель. Их оружие — целевой фишинг по почте и в социальных сетях. Выбрав подходящего для своих задач сотрудника компании, они изучают его профили в соцсетях, а затем вступают с ним в переписку, которая, как правило, начинается с заманчивого предложения новой работы. Используя социальную инженерию, они убеждают его под видом чего-то важного загрузить вредоносную программу и запустить её на своём компьютере.

Команда MoneyTaker, которая специализируется на банках, проводит фишинговые рассылки от имени других банков, центрального банка, министерства финансов и других связанных с финансами организаций. Копируя шаблоны соответствующих ведомств, они придают письмам необходимую и достаточную для успешной атаки степень убедительности.

Атаки на контрагентов

Часто случается, что целевая организация хорошо защищена, особенно если речь идёт о банке, военной или государственной организации. Чтобы не разбивать лоб о «бетонную стену» защитных комплексов, группировки атакуют контрагентов, с которыми взаимодействует их мишень. Скомпрометировав почту нескольких сотрудников или даже внедрившись в переписку, хакеры получают необходимую для дальнейшего проникновения информацию и возможность выполнить задуманное.

Например, группировка Cobalt проникала в банковские сети, атакуя системных интеграторов и поставщиков других услуг, а взломы разработчиков электронных кошельков и терминалы оплаты позволили ей с помощью собственной программы автоматически похищать деньги через платёжные шлюзы.

Атака типа «водопой»

«Водопой», или Watering Hole, — одна из любимых тактик хакеров Lazarus. Смысл атаки состоит в компрометации легальных сайтов, которые часто посещают сотрудники целевой организации. Например, для сотрудников банков такими ресурсами будет сайт центрального банка, министерства финансов и отраслевые порталы. После взлома на сайте под видом полезного контента размещаются хакерские инструменты. Посетители загружают эти программы на свои компьютеры и обеспечивают атакующим доступ в сеть.

Среди взломанных Lazarus сайтов — польская Комиссия по финансовому надзору, Банк Восточной Республики Уругвай и Национальная банковская и фондовая комиссия Мексики. Для взлома сайтов хакеры использовали уязвимости в Liferay и JBoss.

Уязвимости ОС и сетевого оборудования

Эксплуатация уязвимостей операционных систем и сетевого оборудования дают серьёзные преимущества, однако для этого требуются профессиональные знания и навыки. Использование эксплойт-китов без глубокого понимания принципов их работы быстро сведёт к нулю успех атаки: взломать взломали, но ничего не смогли сделать.

Атаки с применением уязвимостей характерны для группировок MoneyTaker, Lazarus и Pawn Storm. Первые две группы в основном используют известные ошибки в прошивках сетевого оборудования для внедрения в сеть компании своего сервера через VPN, через который проводят дальнейшие действия. А вот в арсенале Pawn Storm обнаруживаются опаснейшие уязвимости нулевого дня, для которых нет патчей; она проводит сканирование систем, в которых имеются известные уязвимости.

продолжение в следующем сообщнии

Любимые тактики хакерских группировок.jpg


Источник
 
Original message
Любимые тактики хакерских группировок
Взлом компьютерных систем может происходить по-разному — от изощренных атак со взломом сетевых компонент до технически примитивных техник типа компрометации деловой переписки. В этом посте мы разберём тактики, которые используют самые опасные хакерские группировки — Lazarus, Pawn Storm, Cobalt, Silence и MoneyTaker.
Один из важнейших критериев выбора хакерских инструментов, помимо степени владения ими участников группировки, — это эффективность. Современные кибератаки — сложные многоступенчатые операции, проведение которых требует много времени и серьёзных финансовых ресурсов. Если проникновение в систему не удастся, вся предварительная работа и затраты окажутся напрасными. Таким образом, тактики проникновения в системы, которые используют ведущие группировки, можно рассматривать в качестве наиболее эффективных.

В числе таких тактик следует выделить:
  1. все виды фишинга — классический, целевой, фишинг через социальные сети, tabnabbing;
  2. атаки на цепочки поставок;
  3. атаки типа Watering Hole («водопой»);
  4. атаки через уязвимости сетевого оборудования и операционных систем;
  5. атаки через перехват DNS.
По сути, все эти способы давно известны, однако каждая группировка вносит свою «изюминку», превращая просто эффективную тактику в бронебойный снаряд или изящно комбинируя несколько техник, чтобы с лёгкостью обойти системы защиты компаний.

Фишинг

В простейшем варианте фишинг — это обычный емейл, в котором содержится вредоносное вложение или ссылка. Текст письма составлен таким образом, чтобы убедить получателя выполнить нужные отправителю действия: открыть вложение или перейти по ссылке, чтобы сменить пароль.

Письма, отправленные коллегами или руководителями, вызывают больше доверия, чем послания от незнакомцев, особенно если оформление письма соответствует принятому в компании стилю. В связи с этим подготовительный этап киберкампании, использующей фишинг, обязательно включает в себя сбор сведений о структуре организации, списка сотрудников и их емейлов, а также реальных писем, содержащих элементы оформления.

Группировка Silence использует для проникновения самый обычный фишинг с небольшим нюансом: её кампании обязательно включают тестовый этап с рассылкой безвредных писем для проверки актуальности собранной базы адресов. Это позволяет повысить эффективность атаки, рассылая письма с вредоносной нагрузкой по выверенной базе получателей.

Группировка Pawn Storm также использует фишинговые рассылки, а для повышения их эффективности в них добавляется такой усилитель воздействия, как авторитет. В связи с этим подготовительный этап их кампании включает так называемый High-Credential Phishing — хищение учётных записей высокопоставленных лиц. Собрав достаточное количество таких данных по целевой организации, Pawn Storm проводит рассылку от лица этих персон, «зарядив» их полезной нагрузкой, обеспечивающей успешное достижение цели.

В арсенале приёмов Fancy Bear есть ещё один, не слишком известный, — подмена легального сайта на фишинговый во вкладках браузера — tabnabbing, описанный Азой Раскиным из Mozilla в 2010 году. Атака tabnabbing выглядит следующим образом:
  • жертву заманивают на безобидный сайт, который контролируется злоумышленником;
  • на сайте имеется скрипт, который отслеживает поведение жертвы: как только она переключается на другую вкладку или длительное время не выполняет действий, содержимое сайта меняется на страницу авторизации в почте или социальной сети, а favicon сайта на favicon соответствующего сервиса — Gmail, Facebook и т.д.
  • вернувшись на вкладку, жертва обнаруживает, что её «разлогинило» и без сомнений вводит свои учётные данные;
  • скрипт передаёт логин и пароль злоумышленнику, а затем переадресовывает жертву на соответствующий сервис, который и не думал никого разлогинивать.
Хакеры Lazarus не размениваются на мелочи, предпочитая бить точно в цель. Их оружие — целевой фишинг по почте и в социальных сетях. Выбрав подходящего для своих задач сотрудника компании, они изучают его профили в соцсетях, а затем вступают с ним в переписку, которая, как правило, начинается с заманчивого предложения новой работы. Используя социальную инженерию, они убеждают его под видом чего-то важного загрузить вредоносную программу и запустить её на своём компьютере.

Команда MoneyTaker, которая специализируется на банках, проводит фишинговые рассылки от имени других банков, центрального банка, министерства финансов и других связанных с финансами организаций. Копируя шаблоны соответствующих ведомств, они придают письмам необходимую и достаточную для успешной атаки степень убедительности.

Атаки на контрагентов

Часто случается, что целевая организация хорошо защищена, особенно если речь идёт о банке, военной или государственной организации. Чтобы не разбивать лоб о «бетонную стену» защитных комплексов, группировки атакуют контрагентов, с которыми взаимодействует их мишень. Скомпрометировав почту нескольких сотрудников или даже внедрившись в переписку, хакеры получают необходимую для дальнейшего проникновения информацию и возможность выполнить задуманное.

Например, группировка Cobalt проникала в банковские сети, атакуя системных интеграторов и поставщиков других услуг, а взломы разработчиков электронных кошельков и терминалы оплаты позволили ей с помощью собственной программы автоматически похищать деньги через платёжные шлюзы.

Атака типа «водопой»

«Водопой», или Watering Hole, — одна из любимых тактик хакеров Lazarus. Смысл атаки состоит в компрометации легальных сайтов, которые часто посещают сотрудники целевой организации. Например, для сотрудников банков такими ресурсами будет сайт центрального банка, министерства финансов и отраслевые порталы. После взлома на сайте под видом полезного контента размещаются хакерские инструменты. Посетители загружают эти программы на свои компьютеры и обеспечивают атакующим доступ в сеть.

Среди взломанных Lazarus сайтов — польская Комиссия по финансовому надзору, Банк Восточной Республики Уругвай и Национальная банковская и фондовая комиссия Мексики. Для взлома сайтов хакеры использовали уязвимости в Liferay и JBoss.

Уязвимости ОС и сетевого оборудования

Эксплуатация уязвимостей операционных систем и сетевого оборудования дают серьёзные преимущества, однако для этого требуются профессиональные знания и навыки. Использование эксплойт-китов без глубокого понимания принципов их работы быстро сведёт к нулю успех атаки: взломать взломали, но ничего не смогли сделать.

Атаки с применением уязвимостей характерны для группировок MoneyTaker, Lazarus и Pawn Storm. Первые две группы в основном используют известные ошибки в прошивках сетевого оборудования для внедрения в сеть компании своего сервера через VPN, через который проводят дальнейшие действия. А вот в арсенале Pawn Storm обнаруживаются опаснейшие уязвимости нулевого дня, для которых нет патчей; она проводит сканирование систем, в которых имеются известные уязвимости.

продолжение в следующем сообщнии

Любимые тактики хакерских группировок.jpg


Источник
Last edited by a moderator:

root

Staff member
Full members of NP "MOD"
Joined
Feb 17, 2007
Messages
678
Reaction score
1,026
Points
93
DNS attacks

We only saw this family of attacks in Pawn Storm. Other well-known groups tend to be limited to phishing and two or three alternative methods.

Pawn Storm uses multiple layers of DNS compromise. For example, there are cases when they stole company credentials from the DNS control panel and changed MX servers to their own, gaining full access to the correspondence. The malicious server received and transmitted all mail to the target company, leaving copies of itself, and hackers could at any time infiltrate any chain and achieve the desired result without being noticed.

Another way to compromise was to gain complete control over the DNS registrar's servers. In many countries, there are only a very small number of registrars, so taking over of the largest of them provided almost endless opportunities for introducing most public and private organizations into information exchange, phishing and other types of influence.

conclusions

Phishing is popular not only among script kiddies that rent access to malicious services such as Phishing-as-a-Service or Ransomware-as-a-Service. The effectiveness and relative cheapness of this method made it the main and sometimes the only weapon of the most dangerous groups. The richness of options for its use plays into the hands of criminals: before the compromise of business correspondence, most security solutions fail, and the gullibility and absent-mindedness of users will remain a reliable support for fraudulent attacks for a long time to come.
Protecting computer systems and network equipment is undoubtedly an important task along with the timely installation of security updates, but taking into account the hit parade of cybercriminal tactics, measures related to protection from the human factor come out on top.

Intercepted credentials from high-profile mail will allow criminals to steal sensitive sensitive information, and then use this mail and information to conduct a multi-step attack. Meanwhile, banal skill training and the use of MFA would deprive hackers of this opportunity.

However, security systems are also moving forward, detecting malicious activity using artificial intelligence, deep learning and neural networks. Many companies are developing this class, and we also offer our clients to protect themselves from sophisticated BEC attacks using specially trained artificial intelligence. Their use in conjunction with training employees in safe behavior skills will help to successfully resist cyberattacks of even the most technically trained groups.
 
Original message
Атаки через DNS

Это семейство атак мы зафиксировали только у Pawn Storm. Другие известные группировки, как правило, ограничиваются фишингом и двумя-тремя альтернативными методами.

Pawn Storm использует несколько уровней DNS-компрометации. Например, известны случаи, когда они похищали учётные данные компании от панели управления DNS и меняли MX-серверы на свои, получая полный доступ к переписке. Вредоносный сервер принимал и передавал всю почту целевой компании, оставляя у себя копии, а хакеры могли в любой момент внедриться в любую цепочку и добиться нужного результата, оставаясь незамеченными.

Другой способ компрометации предполагал получение полного контроля над серверами DNS-регистратора. Во многих странах имеется лишь совсем небольшое число регистраторов, поэтому перехват управления над крупнейшими из них обеспечивал практически бесконечные возможности для внедрения в информационный обмен большинства государственных и частных организаций, фишинга и других видов воздействия.

Выводы

Фишинг популярен не только у скрипт-киддис, арендующих доступ к вредоносным сервисам типа «Фишинг-как-Услуга» или «Вымогатель-как-Услуга». Эффективность и относительная дешевизна этого метода сделала его основным, а иногда и единственным оружием самых опасных группировок. Богатство вариантов его использования играет на руку преступникам: перед компрометацией деловой переписки пасуют большинство защитных решений, а доверчивость и рассеянность пользователей ещё долго будет надёжной опорой для мошеннических атак.
Защита компьютерных систем и сетевого оборудования — несомненно, важная задача наряду со своевременной установкой обновлений безопасности, однако с учётом хит-парада киберпреступных тактик на первое место выходят меры, связанные с защитой от человеческого фактора.

Перехваченные учётные данные от почты высокопоставленной персоны позволят преступникам похитить конфиденциальные сведения особой важности, а затем использовать эту почту и информацию для проведения многоходовой атаки. Между тем, банальная тренировка навыков и использование MFA лишили бы хакеров такой возможности.

Однако защитные системы также не стоят на месте, обнаруживая вредоносные действия с помощью искусственного интеллекта, глубокого обучения и нейросетей. Разработки такого класса проводят многие компании, и мы также предлагаем нашим клиентам защититься от изощрённых BEC-атак с помощью специально обученного искусственного интеллекта. Их использование совместно с тренировкой сотрудников навыкам безопасного поведения позволит успешно противостоять кибератакам даже самых технически подготовленных группировок.

Матушкин Андрей Николаевич

Президент IAPD
Staff member
Private access level
Full members of NP "MOD"
Joined
Jan 1, 1970
Messages
22,017
Reaction score
3,769
Points
113
Age
53
Location
Россия,
Website
o-d-b.ru
Very interesting. Thank you!
 
Original message
Очень интересно. Спасибо!

Частный детектив. Москва.

Зарегистрированный
Joined
Jan 19, 2015
Messages
332
Reaction score
192
Points
43
Well, this is very commonplace. There are even more advanced methods of hacking and deception. But thanks for the post anyway!
 
Original message
Ну, это очень банально. Есть еще более прокаченные способы взлома и обмана. Но все равно спасибо за пост!

David Mamedov

Зарегистрированный
Joined
May 21, 2021
Messages
392
Reaction score
228
Points
43
Age
27
Location
Джалал Абад
Атаки через DNS

Это семейство атак мы зафиксировали только у Pawn Storm. Другие известные группировки, как правило, ограничиваются фишингом и двумя-тремя альтернативными методами.

Pawn Storm использует несколько уровней DNS-компрометации. Например, известны случаи, когда они похищали учётные данные компании от панели управления DNS и меняли MX-серверы на свои, получая полный доступ к переписке. Вредоносный сервер принимал и передавал всю почту целевой компании, оставляя у себя копии, а хакеры могли в любой момент внедриться в любую цепочку и добиться нужного результата, оставаясь незамеченными.

Другой способ компрометации предполагал получение полного контроля над серверами DNS-регистратора. Во многих странах имеется лишь совсем небольшое число регистраторов, поэтому перехват управления над крупнейшими из них обеспечивал практически бесконечные возможности для внедрения в информационный обмен большинства государственных и частных организаций, фишинга и других видов воздействия.

Выводы

Фишинг популярен не только у скрипт-киддис, арендующих доступ к вредоносным сервисам типа «Фишинг-как-Услуга» или «Вымогатель-как-Услуга». Эффективность и относительная дешевизна этого метода сделала его основным, а иногда и единственным оружием самых опасных группировок. Богатство вариантов его использования играет на руку преступникам: перед компрометацией деловой переписки пасуют большинство защитных решений, а доверчивость и рассеянность пользователей ещё долго будет надёжной опорой для мошеннических атак.
Защита компьютерных систем и сетевого оборудования — несомненно, важная задача наряду со своевременной установкой обновлений безопасности, однако с учётом хит-парада киберпреступных тактик на первое место выходят меры, связанные с защитой от человеческого фактора.

Перехваченные учётные данные от почты высокопоставленной персоны позволят преступникам похитить конфиденциальные сведения особой важности, а затем использовать эту почту и информацию для проведения многоходовой атаки. Между тем, банальная тренировка навыков и использование MFA лишили бы хакеров такой возможности.

Однако защитные системы также не стоят на месте, обнаруживая вредоносные действия с помощью искусственного интеллекта, глубокого обучения и нейросетей. Разработки такого класса проводят многие компании, и мы также предлагаем нашим клиентам защититься от изощрённых BEC-атак с помощью специально обученного искусственного интеллекта. Их использование совместно с тренировкой сотрудников навыкам безопасного поведения позволит успешно противостоять кибератакам даже самых технически подготовленных группировок.
Сделайте пожалуйста про то, как защитить компанию от этого
 

Turdubaev Dastan

Зарегистрированный
Joined
Jul 13, 2021
Messages
279
Reaction score
128
Points
43
Age
27
Location
Москва
Are these tactics and methods used only by hacker groups? What prevents one hacker from doing this too?
 
Original message
Эти тактики и способы использует только группы хакеров? Что мешает это делать и одному хакеру?

Детективное агентство Израиль.

Private access level
Full members of NP "MOD"
Joined
Oct 30, 2009
Messages
485
Reaction score
238
Points
43
Location
Израиль Иерусалим
Эти тактики и способы использует только группы хакеров? Что мешает это делать и одному хакеру?
Интересный вопрос. Ждем ответа от автора.
 

До нового года осталось