Как Interlock атакует ИТ-специалистов

  • Автор темы Автор темы KrevetO4ka
  • Дата начала Дата начала
KrevetO4ka

KrevetO4ka

Активный пользователь
Регистрация
01.06.2025
Сообщения
1 917
Реакции
1 300
Баллы
113
Как злоумышленники при помощи ClickFix и поддельной CAPTCHA пытаются атаковать ИТ-специалистов, ищущих популярный сетевой сканер.
 
Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.

Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
 
Как Interlock использует ClickFix для распространения вредоносного ПО
Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.

При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).

Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.

На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.

В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
 
От сбора данных до вымогательства — этапы атаки Interlock
После загрузки поддельного установщика активируется PowerShell-скрипт, который собирает информацию о системе и отправляет ее на командный сервер. В ответ сервер может либо завершить работу скрипта, отправив команду ooff, либо прислать дополнительное вредоносное ПО. В ходе кампании, описанной исследователями из Secoia, в качестве полезной нагрузки использовался троян удаленного доступа (Interlock RAT). Зловред сохраняется в папке %AppData% и запускается автоматически, позволяя злоумышленникам получить доступ к конфиденциальной информации и закрепиться в системе.

После первоначального доступа операторы Interlock пытаются использовать ранее украденные учетные данные (вероятнее всего, из агрегированных утечек) и протокол удаленного рабочего стола (RDP) для более глубокого проникновения внутрь инфраструктуры жертвы. Основной целью преступников является контроллер домена (Domain Controller, DC) — доступ к нему позволяет злоумышленникам распространять вредоносное ПО всей инфраструктуре.

Последним этапом перед запуском шифровальщика становится кража ценных данных, принадлежащих организации — файлы загружаются в управляемое злоумышленниками хранилище Azure Blob Storage. После успешного вывода конфиденциальных данных из корпоративной сети жертвы операторы Interlock размещают их на новом домене в сети Tor. Ссылка на этот домен публикуется в каждом посте, посвященном новой жертве, на «луковом» сайте группировки.

1000007895.jpg
 
Как защититься от атак с использованием техники ClickFix
Все защитные меры против атак, основанных на социальной инженерии, должны быть системными и прежде всего направлены на повышение осведомленности сотрудников. С этим поможет наша образовательная платформа Kaspersky Automated Security Awareness Platform , позволяющая автоматизировать процесс обучения.

Помимо этого, для защиты от ransomware-атак мы рекомендуем следующее:

Используйте надежную защиту на всех корпоративных устройствах.
Отслеживайте подозрительную активность в сети компании с помощью решения класса XDR.
В случае нехватки ресурсов или квалификации внутренней ИБ-службы организации, воспользуйтесь услугами внешнего сервиса для поиска угроз и оперативного реагирования на них.
 
Для ответа нужно войти/зарегистрироваться
Назад
Верх