„CryptoCore“ įsilaužėlių tikslinės slaptažodžio tvarkyklės paskyros
Vakar kibernetinio saugumo įmonė „ClearSky“ paskelbė pranešimą apie įsilaužėlių grupę, vadinamą „CryptoCore“. Tariamai gaujos, taip pat žinomos kaip „pavojingas slaptažodis“ ir „Leery Turtle“, tariamai įsikūrusi Rytų Europoje, o jos veiksmus sekė ir kitos saugumo priemonės. Tačiau „ClearSky“ ekspertai mano, kad „CryptoCore“ operacijos yra daug didesnės nei iš pradžių buvo įvertinta. Jie mano, kad nuo 2018 m. Gegužės mėn. Įgulai pavyko surinkti net 200 milijonų dolerių neteisėto pelno. Vakar paskelbtame pranešime paaiškinta, kaip tai pavyko padaryti.
Table of Contents
Susipažinimo su trasa
„CryptoCore“ aukos yra beveik vien tik kriptovaliutų biržos ir su jomis dirbančios įmonės. Prieš įvykdydami realų išpuolį, įsilaužėliai praeina ilgą žvalgymo procesą, kurį sudaro aukšto rango darbuotojų, į kuriuos jie bus nukreipti, nustatymas, surinkti kuo daugiau informacijos apie juos ir kai kuriais atvejais pakenkti jų asmeninėms el. Pašto paskyroms. .
Anot „ClearSky“, asmeninių el. Laiškų išpuolius lengviau atitraukti, tačiau, dar svarbiau, jie teikia puikų informacijos šaltinį ir gali padėti įsilaužėliams sukompromituoti tikslo įmonės gautuosius. Tikroji puolimo grandinė yra patikrintų metodų ir naujų, novatoriškų gudrybių mišinys, kuris, jei „ClearSky“ apskaičiavimai apie 200 milijonų dolerių pelną yra teisingi, aiškiai veikia gana gerai.
Socialinė inžinerija
Išpuoliai prasideda el. Pašto žinutėmis, kurių sudėtingumas skiriasi. Kai kuriais atvejais pranešimai atrodo gana įtartini, o kitais atvejais - keista netinkama kablelis, jie yra beveik tobuli tiek gramatikos, tiek socialinės inžinerijos prasme.
Daugelyje išpuolių kriptovaliutos keityklų vadovai sako, kad spustelėję nuorodą, jie gaus prieigą prie svarbaus su darbu susijusio dokumento. „CryptoCore“ daug naudojasi domenų vardais, kurie atrodo panašūs į tokias populiarias internetines platformas kaip „Google Drive“, o kai kuriuose išpuoliuose įsilaužėliai naudoja HTML, kad paslėptų kenksmingus URL už teisėtai atrodančių nuorodų. Piratai taip pat naudojosi URL sutrumpinimo paslaugomis ne tik todėl, kad galėtų padėti išvengti aptikimo, bet ir todėl, kad jie suteikia supratimą, kiek aukų patenka į schemą.
Tikslai, kurie spustelėja, atsisiųsti archyvą su dviem failais. Pirmasis yra slaptažodžiu apsaugotas PDF, DOCX arba XLSX failas, kuris yra tariamai su darbu susijęs dokumentas, nurodytas el. Laiško tekste. Auka priversta manyti, kad ją atrakinantis slaptažodis yra saugomas „slaptažodis.txt“ - antrajame archyvo faile.
Tačiau atidesni gavėjai gali pastebėti, kad slaptažodis.txt failas iš tikrųjų turi dvigubą plėtinį. Jo visas vardas yra „password.txt.lnk“, ir ten prasideda tikroji ataka.
Ataka
LNK failai yra įprasti „Windows“ spartieji klavišai, jais naudojosi ir kitos kibernetinių nusikaltėlių gaujos. „CryptoCore“ LNK failas susieja su kenkėjiška VBS kodo dalimi, kuri jungiama prie „Command and Control“ serverio (C&C) ir pereina į kitą atakos etapą. Norėdami įsitikinti, kad auka nėra protingesnė, scenarijus atsisiunčiamas ir atidaromas TXT failas, kuriame yra pažadėto slaptažodžio vaizdas.
Tačiau fone jis atsisiunčia ir išsaugo naudingąją apkrovą aplanke% temp% ir įdeda kitą VBS failą į paleisties katalogą, kad būtų užtikrinta, jog kenkėjiškos programos paleidžiamos kiekvieną kartą paleidus kompiuterį.
Heistas
Kaip jau minėjome, „CryptoCore“ išpuoliai nukreipti į pagrindinius kriptovaliutų mainų darbuotojus, o tai reiškia, kad tikriausiai ši kampanija neturės įtakos nuolatiniams vartotojams. Vis dėlto tai nereiškia, kad žmonės neturėtų į tai atkreipti dėmesio.
„ClearSky“ ekspertai neįvardijo konkrečių įrankių, naudojamų „CryptoCore“ išpuoliuose, tačiau jie teigė, kad kibernetiniai nusikaltėliai eina paskui aukų slaptažodžių tvarkytojo paskyras. Čia įsilaužėliai randa reikiamos informacijos, kad galėtų nukreipti milijonų vertės skaitmenines monetas iš aktyvių biržos piniginių į jų kontroliuojamus adresus.
Faktiniai įsilaužimo mechanizmai nėra žinomi ir nėra informacijos apie tai, ar tikslinės konkrečios slaptažodžių tvarkymo programos. Pavogta kriptovaliuta vis dėlto įrodo, kad išpuoliai buvo sėkmingi, o tai kai kuriems vartotojams gali sukelti įtarimą slaptažodžių tvarkytojams. Tai būtų visiškai nepagrįsta.
Slaptažodžių tvarkytojai yra geriausi prisijungimo duomenų tvarkymo ir saugojimo įrankiai, ir niekam tai neturėtų kilti abejonių. Deja, net slaptažodžių tvarkyklės apsaugą gali susilpninti netinkama kibernetinio saugumo higiena iš vartotojo pusės. Žmonės turi atsiminti, kad jų pagrindinis slaptažodis turi būti stiprus, ilgas ir, be abejo, unikalus, ir jie turi naudotis papildomomis saugos funkcijomis, tokiomis kaip dviejų veiksnių autentifikavimas, kurias siūlo kai kurie slaptažodžių valdytojai. Galbūt neturime techninės informacijos apie „CryptoCore“ išpuolius, tačiau žinome, kad visos jos priklauso nuo to, ar vartotojas spustelėja nuorodą el. Laiške. Tai rodo, kad pats laikas visiems pradėti tvarkyti gautuosiuose esančius pranešimus sveikos dozės įtarimų.
