HEAT-атаки: киберугрозы нового поколения заполонили цифровое пространство

Десятки тысяч высокоценных аккаунтов были скомпрометированы за короткий срок.


jxcei6abg99m16ac8viz713xuchzsriv.jpg


Согласно последнему отчёту компании Menlo Security , глобальные киберпреступные объединения быстро развиваются, применяя передовые методы и получая государственную поддержку. В документе раскрываются новые угрозы, демонстрирующие, насколько данные преступные группы стали сложнее и опаснее.

В своём отчёте «Global Cyber Gangs» специалисты выявили три новые государственные кампании, использующие методики HEAT-атак. Эти кампании нацелены на банки, финансовые компании, страховые фирмы, юридические конторы, правительственные учреждения и медицинские организации.

HEAT (Highly Evasive and Adaptive Threat) — это профессиональные, уклончивые и постоянно адаптирующиеся киберугрозы, которые с лёгкостью обходят традиционные меры безопасности. Они атакуют веб-браузеры, используя динамическое поведение, бесфайловые атаки и отложенное выполнение для уклонения от обнаружения.

Эксперты Menlo Security обнаружили три изощрённые HEAT-кампании — LegalQloud, Eqooqp и Boomer, которые скомпрометировали как минимум 40 000 высокоценных учётных записей. Эти атаки могут обходить многофакторную аутентификацию ( MFA ) и захватывать сессии с использованием комплектов Adversary in the Middle ( AiTM ).

Исследование показывает, что 60% вредоносных ссылок, по которым переходят пользователи, — это фишинг или мошенничество, 25% остаются невыявленными традиционными фильтрами URL, а Microsoft является самым имитируемым брендом.

Рассмотрим же каждую из выявленных исследователями вредоносных кампаний, чтобы лучше понять, что они из себя представляют.

  • LegalQloud использует доверенные домены и URL-обфускацию для обхода безопасности. Кампания полагается на Tencent Cloud для уклонения, что соответствует ранним наблюдениям о злоумышленниках, использующих глобальную инфраструктуру. В рамках кампании LegalQloud хакеры скомпрометировали около 500 банковских предприятий Северной Америки за 90 дней.
  • Eqooqp применяет технику AiTM и инструмент фишинга NakedPages для обхода MFA. Кампания нацелена на правительственные и частные организации. Специалисты Menlo Security обнаружили и остановили около 50 000 атак, связанных с этой кампанией.
  • Boomer использует передовые техники уклонения, кастомные HTTP-заголовки и быструю развёртку фишинговых сайтов. Кампания нацелена на правительственные и медицинские сектора, имитируя бренды, такие как Adobe и Microsoft.
Государства, обладающие обширными ресурсами и опытом в кибервойне, предоставляют убежища и техническую помощь этим группам. Государственно-спонсируемая киберпреступность представляет серьёзную угрозу для бизнеса, критической инфраструктуры и личной информации граждан.

Кэлли Гюнтер, старший менеджер по исследованию киберугроз в Critical Start, прокомментировала отчёт Menlo Security: «В апреле 2023 года Critical Start выявил рост HEAT-атак, показывающих, как эти атаки используют уязвимости браузеров для обхода традиционных мер безопасности. Отчёт Menlo Security подтверждает эти выводы, демонстрируя, как HEAT-атаки продолжают развиваться и обходить такие меры, как MFA, с использованием передовых техник».

Для борьбы с этой угрозой необходима международная кооперация, включающая обмен разведданными, совместные расследования и скоординированные операции по ликвидации инфраструктуры и поимке преступников. Важны также надёжные меры кибербезопасности, обучение сотрудников и использование передового программного обеспечения.