Фишинговая атака с NetBird: новая угроза топ-менеджерам

Целенаправленная фишинговая кампания против топ-менеджеров финансового сектора обнаружена системами Trellix

15 мая системы безопасности электронной почты Trellix зафиксировали новую многоэтапную фишинговую атаку, направленную на финансовых директоров и топ-менеджеров из различных отраслей. Объектами атаки стали представители банковского, энергетического, страхового и инвестиционного секторов в Европе, Африке, Канаде, на Ближнем Востоке и в Южной Азии. Особенностью кампании стало использование легитимного ПО для удаленного доступа NetBird, основанного на Wireguard, что свидетельствует о новой тенденции в методах проникновения хакеров.

Суть атаки и использованные инструменты

Атака начиналась с рассылки электронных писем от имени рекрутера компании Rothschild & Co с предложением о «стратегической возможности». Получателям предлагалось открыть прикрепленную «брошюру», которая на самом деле представляла собой страницу, размещённую на платформе Firebase и защищённую капчей с математическим тестом.

• Преодоление капчи открывало доступ к загрузке ZIP-файла Rothschild_&_Co-6745763.zip.
• Внутри архива содержался скрипт VBS, запускавший второй скрипт, который осуществлял:
  • автоматическую установку приложений NetBird и OpenSSH;
  • создание скрытой локальной учётной записи администратора;
  • включение протокола удаленного рабочего стола (RDP).
• Таким образом злоумышленники получали зашифрованный бэкдор для постоянного удалённого доступа к системам жертв.

Механизмы обмана и обхода защиты

Фишинговое письмо, заголовок которого звучал как «Возможность лидерства Rothschild & Co (конфиденциально)», содержало ссылку, замаскированную под подлинный PDF-файл. Однако истинный URL, размещённый на Firebase, имел запутанную структуру и требовал выполнения JavaScript-функции для расшифровки и перехода по ссылке.

Особую угрозу представляет использование злоумышленниками индивидуальных механизмов ввода капчи. Такие методы позволяют обходить распространённые сервисы защиты, такие как Cloudflare Turnstile и Google reCAPTCHA, благодаря чему фишинговые страницы остаются активными дольше и труднее поддаются блокировке.

Результаты расследования и обнаруженные закономерности

Анализ кампании выявил ряд схожих фишинговых страниц с аналогичной капчей и идентичной полезной нагрузкой VBS. Это свидетельствует о наличии у атакующих набора повторно используемых инструментов, которые они маскируют под разные бренды и личины.

Также исследователи обнаружили параллели с ранее опубликованными материалами французского управления финансовых рынков (AMF). Несмотря на различия в приманках, лежащие в основе тактики и методы злоумышленников сохраняют высокую степень последовательности и взаимосвязи между случаями.

Выводы и рекомендации

• Рост применения легитимных инструментов удалённого доступа, таких как NetBird, хакерами требует усиленного контроля и мониторинга подобных сервисов внутри корпоративной сети.
• Использование сложных и индивидуальных капч свидетельствует о высокой квалификации злоумышленников и необходимости обновления средств защиты от фишинга.
• Компании из финансового сектора особенно подвержены риск-фактору и должны уделять повышенное внимание обучению сотрудников и внедрению многоуровневых систем обнаружения угроз.

Данный инцидент подтверждает, что современные фишинговые кампании становятся всё более изощрёнными и требуют комплексного подхода к обеспечению кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.