«Лаборатория Касперского» обнаружила целевую атаку, жертвы которой заражались через часто посещаемые ими сайты
«Лаборатория Касперского» обнаружила целевую кампанию, которая действует с мая 2019 года и направлена на пользователей в Азии. В ходе неё было заражено более десяти часто посещаемых потенциальными жертвами сайтов, связанных с религией, волонтёрскими и благотворительными программами. Такой тип атаки, позволяющий зловреду проникнуть на устройство сразу после посещения пользователем скомпрометированного ресурса, называется watering hole («атака на водопое»).
Кампания получила название Holy Water, в рамках неё злоумышленники используют нестандартные подходы, но их нельзя назвать технически сложными. Главные особенности — быстрое эволюционирование и применение широкого набора инструментов, в частности атакующие использовали хранилище GitHub и ПО с открытым исходным кодом.
Злоумышленники инфицировали сайты, которые принадлежат как отдельным людям, так и общественным организациям, благотворительным фондам и другим компаниям. На интернет-страницы внедрялся загрузчик, который позволял установить на устройства жертв бэкдор сразу после посещения ими скомпрометированного ресурса. Такое ПО открывает полный доступ к заражённому устройству: позволяет вносить изменения в файлы, собирать конфиденциальную информацию с устройства и данные о проводимых на нём действиях.
Кроме того, в ходе кампании использовался ещё один бэкдор, который позволяет обмениваться зашифрованными данными с удалённым сервером. Его задача — собрать информацию о посетителе и проверить, является ли он целью. Если да, то на его устройство загружается плагин, который провоцирует загрузку, показывая фейковое обновление Adobe Flash. Файл, который позволял исполнять фейковое всплывающее уведомление от Adobe Flash, хранился на GitHub. Он уже закрыт, но благодаря предоставленной GitHub возможности изучить его историю эксперты «Лаборатории Касперского» смогли получить уникальные данные о деятельности и инструментах злоумышленников.
Обнаружение кампании Holy Water стало возможным из-за её низкобюджетности и не полностью проработанного набора инструментов, который менялся несколько раз за несколько месяцев.
«Атака типа watering hole через узкоспециализированные сайты — это эффективный способ заражения устройств определённой группы людей. По сути, эта кампания ещё раз демонстрирует, почему так важно задумываться о приватности в интернете. Риски её нарушения особенно высоки, когда речь идёт о разных социальных группах и меньшинствах, потому что всегда есть злоумышленники, которые могут быть заинтересованы в такой информации», — комментирует Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».
Чтобы не стать жертвой целевых атак, «Лаборатория Касперского» рекомендует:
частным пользователям:
- по возможности избегать использования Adobe Flash Player, но, если по каким-то причинам это невозможно и вас просят его обновить, проверять на официальном сайте, нуждается ли продукт в обновлении, поскольку он более не поддерживается большинством сайтов и, с большой степенью вероятности, обновление содержит вредоносный код;
- использовать VPN;
- установить надёжное защитное решение, такое как Kaspersky Security Cloud, для эффективной защиты от известных и неизвестных угроз;
организациям:
- предоставить сотрудникам отделов безопасности или центров управления информационной безопасностью (SOC) доступ к самым свежим данным о киберугрозах, чтобы они были в курсе новых инструментов, техник и тактик злоумышленников;
- использовать решения для защиты конечных устройств, такие как Kaspersky Endpoint Detection and Response, чтобы оградить от киберугроз конечные устройства;
- внедрить корпоративное решение, которое детектирует сложные угрозы на сетевом уровне на ранней стадии, например Kaspersky Anti Targeted Attack Platform.