СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
13 марта
#ИБ

Спонсируемые государством российские хакеры используют фишинг против зашифрованных мессенджеров

Голландская разведка опубликовала предупреждение о новой волне кибератак, в которой российские хакеры, спонсируемые государством, используют фишинг и приёмы социальной инженерии для получения постоянного доступа к перепискам в зашифрованных мессенджерах, таких как Signal и WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta). В прицеле — высокопоставленные лица: правительственные чиновники, военные, сотрудники госорганов и журналисты.

Суть угрозы

Атаки не эксплуатируют уязвимости кода мессенджеров, а нацелены на легитимные процессы аутентификации аккаунтов. Злоумышленники добиваются контроля над учётной записью жертвы, становясь «конечной точкой» коммуникации, что фактически нейтрализует защиту end-to-end шифрования.

«Злоумышленники могут обойти сквозное шифрование, предоставляемое платформами, поскольку они контролируют одну из конечных точек, обеспечивая доступ к разговорам в режиме реального времени.»

Как работает атака

Операция опирается на две ключевые тактики:

  • Фишинг с использованием кода проверки: жертве отправляют сообщение с просьбой поделиться одноразовым проверочным кодом или PIN. Получив код, злоумышленник регистрирует учетную запись жертвы на своём устройстве.
  • Злоупотребление привязкой устройств (QR-коды): жертву обманывают, заставляя сканировать QR-код, который привязывает её аккаунт к устройству злоумышленника.

Для установления контакта используются SMS, in-app сообщения и электронная почта. Приманки тщательно адаптируются под роль жертвы и текущие события, чтобы вызвать срочную реакцию и повысить вероятность того, что пользователь предоставит код или отсканирует QR.

Оперативный фреймворк и соответствие MITRE ATT&CK

Процесс проникновения начинается с разведки — выявления лиц, вероятно участвующих в конфиденциальных обсуждениях. Затем следуют подготовка и отправка персонализированных приманок, взаимодействие с жертвой и финальная привязка аккаунта к устройству злоумышленника. По технической классификации действия злоумышленников соотносятся с несколькими тактиками MITRE ATT&CK:

  • T1566 — Фишинг
  • T1204 — Выполнение с участием пользователя / социальная инженерия
  • T1098 — Манипуляции с учетными записями
  • T1078 — Существующие учетные записи

Последствия компрометации

После успешной привязки учётной записи злоумышленники получают доступ к сообщениям, контактам и файлам — контент может использоваться для дальнейшей слежки, шантажа, сбора разведданных или подготовки последующих операций против жертвы и её окружения.

Рекомендации по защите

Эксперты и разведка предлагают ряд конкретных мер, которые помогут снизить риск успешной атаки:

  • Никогда не пересылайте проверочные коды или PIN-коды третьим лицам.
  • Относитесь к незапрошенным просьбам отсканировать QR-код как к потенциальной угрозе.
  • Включите дополнительные функции безопасности в мессенджерах: блокировки при регистрации, двухфакторную аутентификацию, исчезающие сообщения.
  • Организациям — внедрить понятный чек-лист для сотрудников по обработке подозрительных сообщений и простые механизмы отчётности о фишинге.
  • Проводить регулярное обучение персонала по распознаванию социнженерных приёмов и сценариев фишинга.

Вывод

Атаки демонстрируют, что даже при наличии end-to-end шифрования безопасность коммуникаций зависит от защиты конечных точек и грамотного поведения пользователей. Сфокусированная социальная инженерия, использующая легитимные процессы аутентификации, делает такие операции эффективными и опасными для тех, кто участвует в конфиденциальных обсуждениях. Простые, но последовательные организационные и пользовательские меры могут значительно снизить риск компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: