Сотрудники нескольких российских компаний, в том числе из IT-сектора, получили вредоносные письма в июне 2022 года. Теперь же стало известно, что за атакой с использованием вредоносных писем стояли китайские хакеры из группировки Tonto Team, которая также известна под названиями HeartBeat, Karma Panda, CactusPete и др. Об этом пишет издание Forbes со ссылкой на данные компании Group-IB, работающей в сфере информационной безопасности.

Источник изображения: Pixabay

По данным Group-IB, используемая компанией система Managed XDR выдала оповещение о блокировке вредоносных электронных сообщений 20 июня. На тот момент было установлено получение таких писем двумя сотрудниками компаний, но в получателях также значились десятки представителей ведущих IT- и ИБ-компаний. При этом о каких именно компаниях идёт речь, сказано не было. В сообщении говорится, что целью хакеров стали сотрудники «телеком-операторов, разработчиков программного обеспечения, вендоры, один известный поисковик».

Для рассылки вредоносных писем злоумышленники использовали фальшивую почту, которую зарегистрировали в бесплатном сервисе Global Message eXchange. Специалисты Group-IB провели собственное расследование этого инцидента, в ходе которого сумели получить доказательства причастности к атаке хакеров из Tonto Team.

В компании пояснили, что хакеры использовали фишинговые письма для рассылки документов Microsoft Office, созданных с помощью компоновщика вредоносных RTF-эксплойтов Royal Road Weaponizer. Отмечается, что этот инструмент уже давно используют китайские прогосударственные хакеры. Помимо этого, специалисты обнаружили бэкдор Bisonal.DoubleT, созданный членами группировки Tonto Team.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) совместно с Агентством национальной безопасности США распространило сообщение (PDF) о массированной фишинговой атаке, которая реализовывалась при помощи законных программ удалённого доступа и включала мошеннические действия с банковскими счетами жертв.

Источник изображения: Tumisu / pixabay.com

Жертвами атаки стали сотрудники Министерства внутренней безопасности, Министерства финансов и Министерства юстиции США. Злоумышленники рассылали работникам ведомств фишинговые письма, в которых пытались заставить своих жертв переходить по адресам вредоносных сайтов «первой стадии», которые выдавались за ресурсы известных компаний, в том числе Microsoft и Amazon. С некоторыми госслужащими связывались по телефону, пытаясь обманом заставить их открывать эти сайты.

На втором этапе жертвы устанавливали программы удалённого доступа, при помощи которых злоумышленники реализовывали мошеннические схемы. На компьютерах жертв киберпреступники получали доступ к их банковским счетам или банковским выпискам, которые впоследствии подделывались. Балансы по выпискам расходились с реальностью, и жертв атаки инструктировали о том, как «возместить» некую избыточную сумму.

Эксперты CISA подчеркнули, что массированная фишинговая атака производилась злоумышленниками, преследующими исключительно корыстные цели. Однако использованные при этом технические средства предполагали удалённое управление компьютерами, входящими в инфраструктуру государственных ведомств, что означает потенциальную угрозу национальной безопасности страны.

В Telegram растёт число фишинговых атак — злоумышленники пытаются похитить аккаунты пользователей. По данным «Коммерсанта», в первую очередь вредоносная активность осуществляются с помощью ботов, причём за год количество атак на аккаунты выросло вдвое. По мнению экспертов, наиболее опасна и распространена схема с массовыми рассылками. Впрочем, имеются и другие способы хищения.

Источник изображения: Dima Solomin/unsplash.com

Как сообщает издание со ссылкой на компанию «Код безопасности», к началу текущего года фишинг в России стал одним из основных способов мошенничества в популярном мессенджере. Рост интереса злоумышленников к платформе Telegram обусловлен притоком аудитории, по разным причинам перешедшей с других сервисов. По данным Cofence, занимающейся обеспечением кибербезопасности, фишинг в Telegram в 2022 году вырос на 800 %, причём основным рабочим инструментом злоумышленников стали именно боты.

В Group-IB рассказывают, что в России уже выявлено не менее тысячи мошеннических группировок, действующих в Telegram и здесь же координирующих действия. В чате среднестатистической группировки может состоять порядка 200 участников.

По данным «Лаборатории Касперского», как в прошлом, так и в 2023 году используются схемы, предусматривающие кражу информации с помощью фейковых ресурсов, на которых тем или иным способом пользователей побуждают ввести данные, необходимые для входа в мессенджер.

В Positive Technologies напоминают о рассылках сообщений, предназначенных для кражи личных сведений и, конечно, вредоносного ПО под видом значимых документов. Основной целью является взлом аккаунтов пользователей с последующим перехватом контроля над популярными группами и каналами. В компании также считают ботов главным инструментом атак злоумышленников. Так, в конце прошлого года состоялась массовая «подарочная рассылка» подписки на премиум-версию Telegram, в результате которой мошенники получили доступ к аккаунтам многих пользователей. Это лишь один из инцидентов безопасности, имевших место в Telegram конце прошлого года.

Источник изображения: Christian Wiediger/unsplash.com

Считается, что притоку пользователей в Telegram с последующим оживлением деятельности злоумышленников способствовали как закрытие для российских пользователей рекламных кабинетов на некоторых зарубежных платформах, так и блокировка российской стороной Instagram✴ и Facebook✴. По данным компании «Антифишинг», число атак на бизнес-аккаунты в Telegram в прошлом году удвоилось.

По словам экспертов, большую угрозу, чем фишинг, представляет новый метод авторизации в мессенджере, введённый в середине прошлого года. По словам владельца бота «Глаз бога» Евгения Антипова, это случилось с тех пор, как Telegram перестал отправлять код для авторизации с помощью SMS, заменив механизм на использование активного клиента на мобильном устройстве или ПК.