CryptoCore Hackers Target Password Manager Учетные записи
Вчера компания по кибербезопасности ClearSky опубликовала отчет о хакерской группе под названием CryptoCore. Также известная как «Опасный пароль» и «Осторожная черепаха», банда находится в Восточной Европе, и за ее действиями следили и другие службы безопасности. Эксперты ClearSky считают, однако, что операции CryptoCore намного больше, чем первоначально предполагалось. Они считают, что с мая 2018 года экипажу удалось собрать до 200 миллионов долларов нелегальной прибыли. Вчерашний отчет пролил некоторый свет на то, как ему это удалось.
Table of Contents
Разведка
Жертвами CryptoCore являются почти исключительно криптовалютные биржи и компании, работающие с ними. Прежде чем приступить к реальной атаке, хакеры проходят длительный процесс разведки, который состоит из выявления высокопоставленных сотрудников, на которых они будут ориентироваться, сбора как можно большего количества информации о них и, в некоторых случаях, взлома их личных учетных записей электронной почты.
Согласно ClearSky, атаки на личные электронные письма легче проводить, но, что более важно, они предоставляют отличный источник информации и могут помочь хакерам взломать корпоративный почтовый ящик цели. Фактическая цепочка атак представляет собой смесь проверенных методов и новых инновационных уловок, которые, если расчеты ClearSky о прибыли в 200 миллионов долларов верны, явно работают довольно хорошо.
Социальная инженерия
Атаки начинаются с подделки электронных писем, которые различаются по степени их сложности. В некоторых случаях сообщения выглядят довольно подозрительно, а в других, за исключением странной неуместной запятой, они почти идеальны как с точки зрения грамматики, так и с точки зрения социальной инженерии.
В большинстве атак руководителям биржи криптовалют говорят, что, щелкнув ссылку, они получат доступ к важному документу, связанному с работой. CryptoCore интенсивно использует доменные имена, похожие на популярные онлайн-платформы, такие как Google Drive, и в некоторых атаках хакеры используют HTML, чтобы скрыть вредоносные URL-адреса за законно выглядящими ссылками. Хакеры также использовали сервисы сокращения URL-адресов не только потому, что они могли помочь им избежать обнаружения, но также и потому, что они дают им представление о том, сколько жертв попадает в схему.
Цели, которые кликают, скачивают архив с двумя файлами. Первый - это защищенный паролем файл PDF, DOCX или XLSX, который предположительно является рабочим документом, упомянутым в теле письма. Жертва склонна полагать, что пароль, который его разблокирует, хранится в «password.txt» - втором файле в архиве.
Однако более внимательные получатели могут заметить, что файл password.txt на самом деле имеет двойное расширение. Его полное название - «password.txt.lnk», и именно здесь начинается настоящая атака.
Атака
Файлы LNK - это обычные ярлыки Windows, и они также используются другими киберпреступными бандами. Файл LNK CryptoCore содержит ссылку на вредоносный код VBS, который подключается к серверу управления и контроля (C & C) и переходит к следующему этапу атаки. Чтобы убедиться, что жертва не является мудрее, скрипт загружает и открывает TXT-файл, который содержит то, что похоже на обещанный пароль.
Однако в фоновом режиме он загружает и сохраняет полезную нагрузку в папке% temp% и помещает другой VBS-файл в каталог автозагрузки, чтобы гарантировать, что вредоносная программа запускается при каждой загрузке ПК.
Ограбление
Как мы уже упоминали, атаки CryptoCore нацелены на ключевых сотрудников бирж криптовалюты, что означает, что эта кампания вряд ли затронет обычных пользователей. Это не значит, что люди не должны обращать на это внимание.
Эксперты ClearSky не назвали конкретные инструменты, используемые в атаках CryptoCore, но они сказали, что киберпреступники преследуют учетные записи менеджера паролей жертв. Там хакеры находят информацию, необходимую им для перенаправления цифровых монет на миллионы с активных кошельков биржи на адреса, контролируемые ими.
Фактические механизмы взлома остаются неизвестными, и нет никакой информации о том, нацелены ли конкретные приложения для управления паролями. Тем не менее, украденная криптовалюта доказывает, что атаки были успешными, что может вызвать подозрения в отношении менеджеров паролей у некоторых пользователей. Это было бы совершенно необоснованно.
Менеджеры паролей являются лучшими инструментами для организации и хранения данных для входа, и никто не должен сомневаться в этом. К сожалению, даже защита менеджера паролей может быть ослаблена плохой гигиеной кибербезопасности со стороны пользователя. Люди должны помнить, что их главный пароль должен быть надежным, длинным и, что особенно важно, уникальным, и они должны использовать дополнительные функции безопасности, такие как двухфакторная аутентификация, которые предлагают некоторые менеджеры паролей. У нас может не быть технической информации об атаках CryptoCore, но мы знаем, что все они зависят от того, что пользователь щелкает ссылку в сообщении электронной почты, что свидетельствует о том, что давно пора всем начинать обрабатывать сообщения в своей папке входящих сообщений с помощью здоровая доза подозрения.
