Positive Technologies
Новости

Исследование Positive Technologies: злоумышленники атакуют ИТ-специалистов для взлома более крупных целей

Эксперты Positive Technologies провели исследование1 актуальных киберугроз за III квартал 2024 года. Оно показало, что чаще остальных атакам на частных лиц подвергались ИТ-специалисты. Злоумышленники через них получали возможность проникать в ИТ-компании и реализовывать атаки на цепочки поставок2. Хакеры использовали вредоносную рекламу, ВПО, а также назначали фиктивные собеседования, на которых вынуждали специалистов загрузить ВПО.

Исследование показало, что количество инцидентов на частных лиц и на организации увеличилось на 15% по сравнению с аналогичным периодом предыдущего года. Эксперты выявили, что одними из самых атакуемых частных лиц стали ИТ-специалисты (13%). Атаки на них совершались с использованием ВПО — оно стало одним из распространенных методов атак (72%) на частных лиц в III квартале. Для заражения им злоумышленники использовали фейковые собеседования, менеджеры пакетов и публичных репозиториев, а также вредоносную рекламу.

«Рост числа атак на ИТ-специалистов, помимо финансовой выгоды, можно объяснить желанием перейти к более крупным целям, например к компаниям, в которых они работают. Кроме того, используя ИТ-специалистов в качестве начальной точки атаки, киберпреступники могут вклиниться в цепочку поставок программного обеспечения и нанести непоправимый вред большому количеству организаций. Эксперты по кибербезопасности отмечают, что в 2024 году такие атаки происходили как минимум раз в два дня».

Валерия Беседина
Валерия БесединаМладший аналитик исследовательской группы Positive Technologies

Исследователи Positive Technologies отметили, что кадровый дефицит на рынке ИТ-специалистов в России достигает 500–700 тысяч человек, а количество специалистов, публикующих резюме, выросло на 7%. Такая ситуация позволяет злоумышленникам применять тактику подставных собеседований. Киберпреступники проводят фиктивное интервью, на котором вынуждают разработчика загрузить ВПО. Злоумышленники используют разные способы воздействия: например, решение задачи может требовать загрузки вредоносного кода, приложение для видеоконференции может содержать ВПО.

В III квартале в атаках на ИТ-специалистов прослеживался тренд на использование ВПО для удаленного управления — remote access trojan (RAT). Оно позволяет злоумышленникам иметь постоянный доступ к скомпрометированным системам. RAT распространялся через менеджеров пакетов и публичные репозитории, а также вредоносную рекламу. Злоумышленники создавали и продвигали в поисковой системе сайты, имитирующие популярное программное обеспечение для сетевого сканирования, на которых скрывался RAT. Исследователи обнаружили метод, основанный на политике удаления пакетов PyPI3, под названием Revival Hijack, который затронул 22 000 существующих пакетов. Пользователи не получали предупреждения об удалении пакетов и обновляли их, не подозревая, что их используют злоумышленники.

По данным исследования, в атаках на организации также чаще всего использовалось ВПО для удаленного управления (44%) и шифровальщики (44%). В 79% успешных атак были скомпрометированы компьютеры, серверы и сетевое оборудование. Самыми популярными среди киберпреступников инструментами стали AsyncRAT4, XWorm5 и SparkRAT6. Эксперты PT Expert Security Center зафиксировали фишинговые рассылки в виде счетов, нацеленные на промышленные предприятия, банки, сферу здравоохранения и разработчиков программного обеспечения в России. Такие фишинговые атаки в конечном итоге приводили к заражению трояном XWorm.

Кроме того, злоумышленники использовали сервисы для продвижения вредоносного сайта на первое место в поисковых запросах, распространяя шпионское ПО. В III квартале киберпреступники распространили таким образом малвари DeerStealer7, Atomic Stealer8 и Poseidon Stealer9.

Социальная инженерия по-прежнему является ключевой угрозой для частных лиц (92%) и применяется в половине (50%) атак на организации. Основным каналом социальной инженерии для организаций остается электронная почта (88%), для частных лиц — сайты (73%). Следствиями атак на организации стали утечки конфиденциальных данных (52%), а также нарушение основной деятельности организаций (32%).

Эксперты Positive Technologies рекомендуют компаниям выстраивать результативную кибербезопасность. Она направлена на создание комплексной автоматизированной системы защиты от недопустимых событий — последствий кибератак, которые могут сделать невозможным достижение операционных и стратегических целей компании. Для защиты от ВПО рекомендуется использовать песочницы, которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и вовремя предотвратить ущерб. Эксперты также советуют внедрить NTA-систему, например PT Network Attack Discovery, которая детектирует все современные киберугрозы, в том числе использование вредоносного и шпионского ПО, активность шифровальщиков в сети. Рекомендуется проводить регулярную инвентаризацию и классификацию активов, устанавливать политики разграничения доступа к данным, осуществлять мониторинг обращения к чувствительной информации. Эксперты советуют использовать MaxPatrol SIEM для непрерывного отслеживания событий ИБ и оперативного выявления кибератак. Кроме того, необходимо выстроить процессы управления уязвимостями с помощью MaxPatrol VM, проводить тестирования на проникновение (в том числе автоматизированные) и участвовать в программах багбаунти.

Учитывая увеличивающееся число атак с распространением ВПО через легитимные сервисы, разработчикам следует внимательно относиться к используемым репозиториям и менеджерам пакетов в своих проектах, внедрить инструменты application security, например PT Application Inspector. Для защиты периметра рекомендуется применять межсетевые экраны уровня приложений — PT Application Firewall. Для предотвращения возможных утечек корпоративной информации важно уделить внимание защите данных. Специалистам следует быть осторожными в сети, не переходить по подозрительным ссылкам и не скачивать вложения из непроверенных источников.

  1. Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies (PT Expert Security Center), результатах расследований, а также на данных авторитетных источников. В рамках отчета каждая массовая атака рассматривается как одна отдельная, а не как несколько.
  2. Кибератака, в ходе которой злоумышленники взламывают компанию путем компрометации поставщиков ПО или оборудования.
  3. PyPI — каталог программного обеспечения, написанного на языке программирования Python. 
  4. AsyncRAT — вредоносное ПО, которое применяет шифрование и сжатие данных, а затем загружает дополнительные компоненты для расширения своих возможностей.
  5. XWorm — троян удаленного доступа, нацеленный на операционные системы Windows. Он хорошо маскируется и выполняет широкий спектр вредоносных действий: от удаленного управления рабочим столом до внедрения программ-вымогателей и кражи информации.
  6. SparkRAT — инструмент с открытым исходным кодом, написанный на Go, универсальный троян удаленного администрирования, опасен для систем Windows, macOS, Linux. 
  7. DeerStealer — вредоносная программа, предназначенная для кражи личных данных пользователя. Вся украденная информация сразу же отправляется на сервер злоумышленников.
  8. Atomic Stealer — вредоносная программа, которая способна собирать конфиденциальную информацию с зараженных устройств, включая пароли, сессионные куки, данные криптокошельков, метаданные системы.
  9. Poseidon Stealer — вредоносная программа, предназначенная для извлечения широкого спектра конфиденциальной информации с устройств под управлением macOS.