Positive Technologies обнаружила серию кибератак, направленных на государственные организации России и СНГ

Экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружил новую кибергруппировку — Lazy Koala. По данным специалистов, преступники используют простые, но эффективные техники атак. Жертвами группировки стали организации из России и шести стран СНГ. На сегодняшний день скомпрометировано порядка 867 учетных записей сотрудников.

В рамках исследования угроз специалисты PT ESC обнаружили серию атак, направленных на организации из России, Беларуси, Казахстана, Узбекистана, Кыргызстана Таджикистана и Армении. Жертвами атак стали государственные и финансовые компании, а также медицинские и образовательные учреждения из перечисленных стран. Специалисты Positive Technologies уже уведомили пострадавших о компрометации. За атаками стоит ранее неизвестная группировка, эксперты назвали ее Lazy Koala из-за ее элементарных техник и имени пользователя Koala, который управлял Telegram-ботами с украденными данными. Связей с уже известными группировками, использующими такие же техники, установить не удалось. По данным исследования, основной целью злоумышленников была кража учетных записей от различных сервисов с компьютеров сотрудников государственных организаций. Эту информацию преступники, вероятно, намерены использовать в дальнейших атаках уже на внутренние структуры компаний. Украденные данные также могут быть проданы на теневом рынке киберуслуг.

Одним из основных способов проникновения злоумышленника в инфраструктуру по-прежнему является фишинг. Пользователям рекомендуется соблюдать осторожность, не открывать подозрительные письма, не переходить по неизвестным ссылкам, не загружать ПО с непроверенных сайтов и торрент-площадок, пользоваться лицензионными версиями из доверенных источников. Организациям следует информировать сотрудников о различных видах фишинга и новых схемах мошенничества.

Обнаружить подобные атаки можно с помощью специализированных средств защиты, а для анализа атак и их предотвращения необходимо привлекать профессионалов в расследовании киберинцидентов.

Так, система MaxPatrol SIEM может обнаружить не только ключевое событие — кражу данных — с помощью правила Credential_Access_to_Passwords_Storage, но и предшествующие этапы — фишинг и передачу данных — с помощью правил Run_Masquerading_Executable_File и Suspicious_Connection. Также можно выявить подобные атаки с помощью систем для защиты конечных точек, таких как MaxPatrol EDR. Система поведенческого анализа сетевого трафика PT NAD обнаруживает обращения к Telegram API. Для этого используется фильтр tls.server_name == "api.telegram.org", по которому также можно удобно настроить уведомления. В случае если новый узел будет обращаться к Telegram API, PT NAD отправит соответствующее уведомление оператору SOC. Песочница PT Sandbox детектирует действия группировки за счет правила, написанного под эту APT-группировку (вердикт поведенческого анализа — Trojan-PSW.Win32.LazyStealer.n).