BI.ZONE: злоумышленники крадут пароли у российских компаний с помощью ПО с открытым исходным кодом

Эксперты киберразведки BI.ZONE обнаружили кампанию, направленную против российских организаций из разных отраслей. Ее цель — распространение вредоносного программного обеспечения (ВПО) Umbral, которое собирает с зараженных компьютеров учетные данные пользователей

30 мая 2023 г.

@media only screen and (min-width: 320px) and (max-width: 428px) { .articleDetail .quote__authorName, .articleDetail .quote__text, .eventProgramm__date, .eventProgramm__title, .fs-h5, .h5, .headBlock__text, .headSection--news .headSection__text, .headSection__text, .newsDetail .quote__authorName, .newsDetail .quote__text, .participants__title, .popup__title, .sectionFullImage__text, .stepList .button, .stepList .button span, .stepList__title, .toggleBox .iconLine__title, .toggleBox__title, div.card__title, div.cFiltered__length, div.productDetail__subtitle, div.review__authorName, div.timer__title, div.toggleBox .iconLine__title, div.toggleBox__title, div.toggleEvent__bannerTitle, div.v-banner__title, h5 { font-size: 18px; line-height: 20px; } }

Примечательно, что исходные коды ВПО размещены в открытом доступе на веб‑сервисе для хранения IT‑проектов GitHub и доступны всем желающим.

Для доставки Umbral Stealer в корпоративные сети злоумышленники выбрали простой, но эффективный метод — фишинговые письма. К ним были приложены ISO‑файлы (дисковые образы), в которых, в свою очередь, содержались вредоносные ярлыки. Преступники замаскировали их под документы с названием «План Рейдеров». Открытие такого файла и запускало процесс компрометации устройства.

Umbral Stealer позволяет злоумышленникам обходить средства защиты, повышать привилегии, собирать информацию о скомпрометированной системе и извлекать аутентификационные данные из таких приложений, как Brave, Chrome, Chromium, Comodo, Edge, Epic Privacy, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi, «Яндекс Браузер», Roblox, Minecraft и Discord. Многие из этих приложений могут содержать пароли не только для личных учетных записей, но и для корпоративных. Это может позволить атакующим получить первоначальный доступ к целевой сети, например используя деловую электронную почту для рассылки фишинговых писем внутри организации или получения паролей к иным сервисам путем анализа почтовой переписки. При этом Umbral не использует традиционные методы коммуникации с командным сервером — вместо этого данные выгружаются через инфраструктуру мессенджера Discord.

Сегодня многие киберпреступники, в том числе те, кто вовлечены в атаки с использованием программ‑вымогателей, используют легитимные учетные данные для получения первоначального доступа к корпоративным сетям. Одним из главных источников таких данных являются стилеры. Данные, собранные стилерами, можно найти в продаже, а иногда и загрузить бесплатно на многих теневых форумах и маркетплейсах. Именно поэтому мы видим все новые и новые семейства стилеров.

Олег Скулкин

Руководитель управления киберразведки BI.ZONE

Чтобы снизить риск подобных атак, необходимо наладить защиту электронной почты: именно этот вектор распространения чаще всего используют операторы ВПО наподобие Umbral Stealer. Важно, чтобы компания могла остановить кибератаку на любой ступени ее развития. Для этого мы рекомендуем доверить выявление, реагирование и предупреждение киберугроз экспертам по мониторингу событий кибербезопасности.