Ало, это взлом: как хакеры превращают доверчивость сотрудников в миллионы долларов
Ало, это взлом: как хакеры превращают доверчивость сотрудников в миллионы долларов
Alexander Antipov
Более 130 компаний стали жертвами социальной инженерии.
Команда GuidePoint Research and Intelligence Team (GRIT) зафиксировала деятельность высокоразвитой хакерской группы, обладающей значительными навыками в области социальной инженерии и проникновения в сети, среди которых — умение общаться на английском языке на уровне носителей. Атаки этой группы нацелены на более чем 130 американских компаний из разных отраслей.
Основная цель злоумышленников — получение учетных данных и одноразовых паролей путем социальной инженерии, направленной на отдельных сотрудников организаций. Эти методы остаются незамеченными для традиционных средств безопасности, так как атаки происходят за пределами обычного поля видимости: с использованием телефонных звонков на мобильные телефоны сотрудников и SMS-сообщений. Без уведомлений от пользователей о таких звонках и сообщениях службы безопасности могут даже не подозревать о попытке взлома. Хакеры продолжают свои действия до тех пор, пока не найдут уязвимого сотрудника.
С 26 июня 2024 года группа зарегистрировала несколько доменных имен, похожих на адреса используемых организациями VPN-сервисов. Среди них: ciscoweblink.com, ciscolinkweb.com, fortivpnlink.com и другие. Злоумышленники звонят сотрудникам, представляясь службой технической поддержки, и сообщают о проблемах с входом в VPN, после чего отправляют ссылку на поддельный сайт. Этот сайт имитирует настоящую страницу входа в VPN, но создан для кражи учетных данных пользователя.
Фальшивые страницы входа тщательно подделаны, включая имена VPN-групп, используемых в организациях. В некоторых случаях добавляются вымышленные группы, такие как «TestVPN» и «RemoteVPN», для усиления эффекта социальной инженерии. Через такие страницы хакеры получают логин, пароль и, при использовании многофакторной аутентификации, токен пользователя. Если система использует push-уведомления, злоумышленники просят пользователя одобрить запрос, чтобы завершить атаку.
После получения доступа к сети через VPN хакеры немедленно начинают сканирование сети, выявляя цели для дальнейшего продвижения, сохранения доступа и повышения привилегий. Основной целью этой группы является финансовая выгода: в случае успешного проникновения они крадут данные, уничтожают резервные копии и в конечном итоге запускают программное обеспечение-вымогатель.
Службы безопасности компаний, которые могут оказаться под угрозой, настоятельно рекомендуют проверить журналы активности VPN за последние 30 дней на наличие подозрительных действий. В случае обнаружения признаков компрометации необходимо немедленно объявить инцидент и провести тщательное расследование. Также важно предупредить сотрудников о новых методах социальной инженерии и инструктировать их немедленно сообщать о подозрительных звонках от лиц, представляющихся сотрудниками IT или службы поддержки.
Основная цель злоумышленников — получение учетных данных и одноразовых паролей путем социальной инженерии, направленной на отдельных сотрудников организаций. Эти методы остаются незамеченными для традиционных средств безопасности, так как атаки происходят за пределами обычного поля видимости: с использованием телефонных звонков на мобильные телефоны сотрудников и SMS-сообщений. Без уведомлений от пользователей о таких звонках и сообщениях службы безопасности могут даже не подозревать о попытке взлома. Хакеры продолжают свои действия до тех пор, пока не найдут уязвимого сотрудника.
С 26 июня 2024 года группа зарегистрировала несколько доменных имен, похожих на адреса используемых организациями VPN-сервисов. Среди них: ciscoweblink.com, ciscolinkweb.com, fortivpnlink.com и другие. Злоумышленники звонят сотрудникам, представляясь службой технической поддержки, и сообщают о проблемах с входом в VPN, после чего отправляют ссылку на поддельный сайт. Этот сайт имитирует настоящую страницу входа в VPN, но создан для кражи учетных данных пользователя.
Фальшивые страницы входа тщательно подделаны, включая имена VPN-групп, используемых в организациях. В некоторых случаях добавляются вымышленные группы, такие как «TestVPN» и «RemoteVPN», для усиления эффекта социальной инженерии. Через такие страницы хакеры получают логин, пароль и, при использовании многофакторной аутентификации, токен пользователя. Если система использует push-уведомления, злоумышленники просят пользователя одобрить запрос, чтобы завершить атаку.
После получения доступа к сети через VPN хакеры немедленно начинают сканирование сети, выявляя цели для дальнейшего продвижения, сохранения доступа и повышения привилегий. Основной целью этой группы является финансовая выгода: в случае успешного проникновения они крадут данные, уничтожают резервные копии и в конечном итоге запускают программное обеспечение-вымогатель.
Службы безопасности компаний, которые могут оказаться под угрозой, настоятельно рекомендуют проверить журналы активности VPN за последние 30 дней на наличие подозрительных действий. В случае обнаружения признаков компрометации необходимо немедленно объявить инцидент и провести тщательное расследование. Также важно предупредить сотрудников о новых методах социальной инженерии и инструктировать их немедленно сообщать о подозрительных звонках от лиц, представляющихся сотрудниками IT или службы поддержки.