Новая волна атак Storm-1811: сложные методы и рекомендации защиты

Новая волна мошеннических атак с использованием социальной инженерии и сложного вредоносного ПО

Специалисты в области кибербезопасности обеспокоены новой волной атак, связанных с тактиками, применяемыми группой злоумышленников под названием Storm-1811. Всё указывает на то, что злоумышленники интегрируют многоступенчатый подход, где ключевую роль играют глубокая разведка и обман конкретных сотрудников организаций через поддельные звонки и взлом электронных почтовых ящиков.

Описание атаки и методы злоумышленников

В период с ноября 2024 года по начало 2025 года компания Sophos зафиксировала многочисленные инциденты, в которых злоумышленники начинали атаку с массированных рассылок спама. После этого шли обманные звонки через Microsoft Teams, цель которых — получить удалённый доступ к устройствам сотрудников.

Один из наиболее показательных случаев связан с группой вымогателей 3AM. Изначально считавшаяся ребрендингом BlackSuit/Royal ransomware, группа аффилирована с бывшими членами конфликтной группы Conti. Тогда злоумышленники:

• подделали номер телефона ИТ-отдела целевой организации;
• провели тщательную разведку для создания убедительного образа службы технической поддержки;
• установили контакт с сотрудником и убедили предоставить доступ через Microsoft Quick Assist;
• с помощью эмулятора Qemu развернули на устройстве виртуальную машину для скрытной работы;
• запустили бэкдор QDoor, который подключался к заранее зашитому IP-адресу в Литве;
• предприняли дальнейшую разведку, включая компрометацию учетной записи доменных служб;
• удалили около 868 ГБ данных, используя легитимный инструмент синхронизации;
• запустили программу-вымогатель на неуправляемом устройстве внутри сети.

Технические детали и последствия

Особенностью атаки было использование виртуальной машины на базе Qemu, что позволило злоумышленникам обходить защиту endpoint protection и избегать обнаружения. Бэкдор QDoor обеспечил им стабильное и скрытое соединение для дальнейшей деятельности.

В течение нескольких часов после первоначального доступа злоумышленники применяли PowerShell для ослабления настроек безопасности, создания новых административных учетных записей и установки дополнительных средств удаленного управления. Несмотря на использование многофакторной аутентификации (MFA) на ряде хостов, злоумышленники смогли преодолеть эти меры и реализовать масштабные кражи данных и запустить ransomware-атаку.

Рекомендации по защите и предотвращению атак

Для снижения рисков подобных сложных атак организациям необходимо внедрить комплексный подход к безопасности, включающий:

• жёсткий контроль процессов аутентификации с обязательным использованием MFA;
• ограничение и мониторинг удаленного доступа к критически важным системам;
• блокирование и контроль всех ненадежных средств удаленного доступа;
• строгую политику исполнения команд PowerShell и развертывание систем предотвращения вторжений (IDS/IPS);
• регулярное обучение персонала методам распознавания социальной инженерии;
• внедрение надёжных протоколов безопасности, касающихся выполнения программного обеспечения и доступа к сетям.

Только системный подход и осведомлённость сотрудников позволят противостоять современным многоуровневым атакам, подобным тем, что проводят группы вроде 3AM и Storm-1811.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.