В последнее время специалисты по кибербезопасности столкнулись с новой схемой атак на криптовалютные компании, где злоумышленники активно используют чат-группы Telegram для внедрения в доверенное окружение своих целей. Недавнее расследование Microsoft выявило деятельность угрозы, отслеживаемой под именем DEV-0139. Этот злоумышленник присоединялся к закрытым Telegram-чатам, предназначенным для VIP-клиентов криптовалютных бирж, и маскировался под представителей других инвестиционных компаний. Такой подход позволил ему выявлять потенциальные жертвы и постепенно завоевывать их доверие.
Описание
Одной из ключевых особенностей атаки стало использование социальной инженерии. В октябре 2022 года DEV-0139 пригласил свою цель в отдельную чат-группу, где начал обсуждать комиссионные структуры криптовалютных платформ. Примечательно, что злоумышленник демонстрировал глубокое понимание специфики отрасли, что делало его сообщения максимально правдоподобными. Такая тактика указывает на тщательную подготовку и наличие у преступника доступа к актуальным данным о проблемах, с которыми сталкиваются целевые компании.
Исследователи из Volexity также опубликовали детали этого инцидента, подтвердив высокий уровень организации атаки. Подобные угрозы особенно опасны, так как злоумышленники не взламывают системы напрямую, а используют уязвимости человеческого фактора. В отличие от технических уязвимостей, социальная инженерия сложнее поддается обнаружению и блокировке, поскольку атака строится на доверии и манипуляции.
Microsoft, выявляя подобные угрозы, применяет специальную систему обозначений. Идентификатор DEV используется для временного обозначения новых или развивающихся кластеров угроз, пока не будет установлен их точный источник или причастность определенной группы. Центр разведки угроз Microsoft (MSTIC) ведет мониторинг таких активностей до тех пор, пока не будет собрано достаточно данных для установления личности злоумышленников. Как только угроза полностью идентифицируется, она получает постоянное название, например, связанное с конкретной хакерской группировкой или страной.
Эксперты подчеркивают, что подобные атаки требуют комплексного подхода к безопасности. Помимо технических мер, таких как защита серверов и использование современных средств шифрования, компаниям необходимо обучать сотрудников основам кибербезопасности. Важно, чтобы сотрудники, особенно те, кто работает с клиентами и партнерами, умели распознавать признаки социальной инженерии. Фишинговые атаки, звонки от мнимых коллег, подозрительные ссылки и запросы на передачу конфиденциальной информации должны вызывать немедленную реакцию.
Атаки через Telegram и другие мессенджеры становятся все более распространенным инструментом в арсенале киберпреступников. В отличие от электронной почты, где антифишинговые фильтры хорошо развиты, чат-платформы часто остаются менее защищенными. При этом доверие пользователей к сообщениям в мессенджерах выше, что делает их идеальным каналом для социальной инженерии.
В будущем можно ожидать увеличения числа подобных инцидентов, особенно в высокодоходных сегментах, таких как криптовалютный рынок. Компаниям следует заранее готовиться к таким угрозам, внедряя не только технические, но и организационные меры защиты. В противном случае потери от утечек данных и финансовых махинаций могут оказаться катастрофическими.
Индикаторы компрометации
IPv4
- 198.54.115.248
Domains
- strainservice.com
URLs
- https://od.lk/d/d021d412be456a6f78a0052a1f0e3557dcfa14bf25f9d0f1d0d2d7dcdac86c73/Background.png
SHA256
- 17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b
- 2e8d2525a523b0a47a22a1e9cc9219d6526840d8b819d40d24046b17db8ea3fb
- 82e67114d632795edf29ce1d50a4c1c444846d9e16cd121ce26e63c8dc4a1629
- 90b0a4c9fe8fd0084a5d50ed781c7c8908f6ade44e5654acffea922e281c6b33
- a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9
- abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0
- e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487
- ea31e626368b923419e8966747ca33473e583376095c48e815916ff90382dda5
