В связи с пандемией и вынужденной необходимостью удаленной работы в прошлом году стали активно набирать популярность приложения для групповых чатов, в частности такие, как Discord и Slack. Злоумышленники не обошли стороной возможность этим воспользоваться, ведь для них появился инструмент для удобной доставки вредоносного ПО (ВПО). Как напоминают исследователи подразделения Cisco по анализу угроз (Cisco Talos), такой способ доставки пользовался спросом и. В чем же состоит удобство?
Пользоваться определенными коммуникационными платформами стало обычным делом (и может быть даже установленной в организации необходимостью), поэтому вполне логично предположить, что для рабочего сегмента переход по ссылке на какой-либо материал, размещенный в домене привычной площадки для удаленной работы, стало вполне естественно. Отсюда вытекает эффективность методов социальной инженерии, тем более что нет необходимости как-то маскировать вредоносную ссылку. Кроме того, использование работниками определенных приложений обычно предполагает «законность» взаимодействий с доменами этих приложений, из чего вытекает появление соответствующих разрешений на брандмауэрах, роутерах, прокси- и почтовых серверах компаний. Это дает злоумышленникам привлекательную возможность не только обойти фильтры, но и сохранить доступность размещенного по ссылке вредоносного ПО, избежав блокировки источника заражения – легитимного домена.
В развивающейся вредоносной кампании доставка ВПО осуществляется посредством CDN-серверов платформ для совместной работы, таких как Discord и Slack. Если коротко, CDN-сервер представляет собой своего рода хранилище для контента, которым в нашем случае обмениваются в каналах (чатах) Discord и Slack. Когда файлы каналов загружаются в Discord или Slack, к ним можно получить доступ, используя внешние ссылки, просто перейдя по URL-адресу CDN, где размещен контент. Выгрузку файлов можно выполнить из любой системы, то есть независимо от того, было ли установлено соответствующее приложение – перейти по ссылке с помощью браузера будет достаточно.
В течение 2020 года специалисты группы Cisco Talos заметный рост количества вредоносных почтовых кампаний, содержащих ссылки на файлы, размещенные в CDN коммуникационных платформ Discord и Slack.
Используемые в электронных письмах гиперссылки обычно указывали на сжатый архив различного формата: GZ, IMG, ISO, ACE, 7Z, ZIP, TAR, RAR, LHA. Эти архивы содержали вредоносные компоненты, в том числе дропперы, программы для удаленного администрирования, стилеры, которые используются для запуска процесса заражения, получения дополнительных полезных данных, предоставления злоумышленникам возможностей удаленного доступа и сбора конфиденциальной информации.
Команда Cisco Talos предполагает, что злоупотребление коммуникационными платформами будет только увеличиваться в ближайшей и долгосрочной перспективе, а разнообразие подобных приложений будет обеспечивать злоумышленников новыми возможностями для распространения ВПО.
Не только организация удаленной работы, но и повышенные темпы реализации рабочих процессов вынуждают персонал многих компаний использовать мессенджеры/чаты для удобного и оперативного решения вопросов. Однако при этом возникает угроза распространения вредоносного контента через домены, необходимые для нормального функционирования соответствующих приложений. Поэтому следует учитывать и снижать риски, связанные с использованием этих средств, применяя дополнительные меры защиты, например, с помощью анализа и фильтрации интернет-трафика между внутренней сетью компании и сетью Интернет.
«Организация фильтрации трафика – довольно трудоемкая задача, учитывая многообразие сетевых устройств/приложений и особенности каждого из них: специалисты разрабатывают правила для аппаратных и программных брандмауэров, правила безопасной маршрутизации, осуществляют настройку фильтров почтового и прокси- серверов и т.д., – отмечает Алексей Михайлов, инженер группы сопровождения прикладных систем Angara Professional Assistance. – В дополнение к этим мерам защиты мы рекомендуем использовать комплексные решения, позволяющие разносторонне подходить к вопросу безопасности анализируемого веб-трафика. В частности, основываясь не только на репутационных базах и белых списках, но также выполняя, например, антивирусную проверку или анализ в песочнице загружаемого контента. Предлагаемое нашей компанией решение Web Access Security as a Service позволяет обеспечивать защиту интернет-трафика с использованием современных способов защиты, включая защиту от APT угроз и песочницу».
Услуга Web Access SaaS позволяет не только выявлять и блокировать современные киберугрозы, включая вредоносный активный контент, ботнеты, межсайтовый скриптинг (XSS), подделку межсайтовых запросов (CSRF), фишинг и другие, но также предоставляет возможность фиксировать и анализировать весь доступ в Интернет сотрудников.
