Сложно не значит лучше: группировка не брезгует простыми, но эффективными методами.
Эксперты Центра кибербезопасности Positive Technologies (PT ESC) идентифицировали новую хакерскую группировку под названием Lazy Koala. Несмотря на использование примитивных, но эффективных методов атак, преступникам удалось скомпрометировать около 867 учетных записей сотрудников организаций из России и шести стран СНГ.
В ходе исследования угроз специалисты PT ESC выявили серию кибератак, направленных против государственных, финансовых, медицинских и образовательных учреждений в России, Беларуси, Казахстане, Узбекистане, Киргизии, Таджикистане и Армении. За атаками стоит ранее неизвестная группировка, эксперты назвали ее Lazy Koala из-за ее элементарных техник и имени пользователя Koala, который управлял Telegram-ботами с украденными данными. Связей с другими хакерскими группами, применяющими аналогичные методы, обнаружено не было.
Согласно результатам исследования, главной целью злоумышленников была кража учетных данных от различных сервисов с компьютеров сотрудников государственных организаций. Предположительно, похищенная информация будет использована для дальнейших атак на внутренние системы компаний или продажи на теневом рынке киберуслуг.
В Positive Technologies отмечают, что новая группировка придерживается принципа «сложно не значит лучше». Lazy Koala не использует изощренные инструменты, тактики и техники, но при этом добивается успеха. Их основное оружие — примитивный стилер на Python для кражи паролей, который, по предположениям экспертов компании, распространяется с помощью классического фишинга. Злоумышленники убеждают жертву открыть вложение и запустить нужный файл в браузере, причем вложения подготовлены на национальном языке для каждой страны. После заражения устройства вредоносное ПО отправляет украденные данные через Telegram.
Фишинг по-прежнему остается одним из основных способов проникновения злоумышленников в корпоративную инфраструктуру. Пользователям рекомендуется проявлять осторожность, не открывать подозрительные письма и вложения, не переходить по неизвестным ссылкам, не загружать программное обеспечение с непроверенных источников, использовать только лицензионные версии из доверенных источников. Организациям следует информировать сотрудников о различных видах фишинга и новых схемах мошенничества.
Для обнаружения подобных атак необходимо использовать специализированные средства защиты, а для анализа и предотвращения киберинцидентов привлекать профессионалов в сфере кибербезопасности.
Одно найти легче, чем другое. Спойлер: это не темная материя