Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

13 известных компаний стали объектами масштабной фишинговой атаки

21/02/20

hack28-4Конечной целью злоумышленников была, по-видимому, установка в их локальные сети инструмента для удаленного администрирования.

Кампания, которую обнаружили эксперты Malware Hunter Team, проводилась весьма осмысленно: злоумышленники использовали нетипичный формат вложений в фишинговые письма; каждое послание и каждое вложение было адаптировано под целевую организацию. Письма имитировали деловую переписку — каждое послание якобы исходило от клиента или подрядчика компании, и в них даже содержались предложения перезвонить, если потребуется.

Рассылка, впрочем, производилась с адресов в бесплатном сервисе Hotmail, что уже могло бы вызывать подозрения.

К настоящему времени атаки были также направлены на компании A2B Austarlia Limited, Asarco LLC, Aus Net Services, Bega Cheese, Boc GroupI nc, Glad Products Company, Hydratight, Messer LLC, Mutual Bank, Pact Group и Sappi North America. На самом деле, атаке могли подвергнуться и многие другие структуры.

Информации о том, были ли случаи успешной компрометации, нет.

Нетипичный формат

Что касается формата вложения, то здесь все оказалось довольно своеобразно. К каждому фишинговому посланию прилагался файл с расширением .SLK. Это Symbolic Link, формат файлов для обмена данными между таблицами Microsoft Excel. Иконка, обозначающая эти файлы, сильно напоминает иконку Excel. Этот формат файлов, можно использовать и для встраивания активного содержимого в таблицы, и запуска команд EEXEC в Excel. На данную функциональность, собственно, злоумышленники и рассчитывали.

При открытии вложения пользователю предлагается разрешить редактирование (Enable Editing) и включить содержимое (Enable Content). То есть, по сути, снять всякую защиту от потенциально вредоносных макросов и активных модулей.

Если пользователь нажимает Enable Content, SLK-файл из вложения срабатывает и запускает команды EEXEC, создавая на жестком диске (в папке временных файлов) batch-файл и запуская его.

Этот файл, в свою очередь, пытается скачать с удаленного сервера и запустить локально файл .MSI (установщик приложений для Windows). Сервер, на котором лежал этот файл, уже не функционирует. По данным Malware Hunter Team, это было приложение Net Support Manager — вполне легитимный кроссплатформенный инструмент удаленного администрирования, который едва ли будет распознаваться антивирусами и другими защитными средствами.

По идее такой инструмент обеспечивает злоумышленникам режим наибольшего благоприятствования в чужих сетях, вплоть до полной компрометации любых ресурсов и любой содержащейся в них информации.

 

Темы:ПреступленияфишингMicrosoft Excel
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...