Новая волна атак с голосовым фишингом и кражей данных: группа BlackFile угрожает ритейлу и гостиничному бизнесу

По данным расследования, кластер CL-CRI-1116 с умеренной долей уверенности связывают с группировкой The Com, о которой Unit 42 неоднократно сообщал в предыдущие годы. Однако нынешняя волна отличается от привычных схем: атакующие не применяют собственное вредоносное программное обеспечение и не используют сложные эксплойты. Вместо этого они делают ставку на так называемое "использование легитимных средств" (Living Off the Land) - манипуляции с программными интерфейсами приложений (API), стандартными функциями облачных сервисов и внутренними ресурсами корпоративной инфраструктуры. Такой подход позволяет обходить многие традиционные средства защиты, ориентированные на сигнатуры вредоносного кода.

Типичная цепочка атаки начинается с подготовки ресурсов. Злоумышленники создают фишинговые страницы, которые внешне неотличимы от корпоративных порталов единого входа (SSO). Для маскировки своего истинного местоположения они используют антидетект-браузеры и резидентные прокси-серверы, что позволяет обойти блокировки по IP-адресам. Первоначальный доступ осуществляется через голосовой фишинг (vishing) - звонки с подменённых номеров интернет-телефонии (VoIP) или с ложными идентификаторами вызывающего абонента. Представляясь сотрудниками службы IT-поддержки, злоумышленники убеждают жертву перейти по ссылке и ввести учётные данные, включая одноразовые пароли (TOTP).

Как только аккаунт сотрудника оказывается скомпрометирован, атакующие стремятся закрепиться в системе. Для этого они регистрируют подконтрольное устройство в платформах управления идентификацией, чтобы обойти многофакторную аутентификацию (MFA). Параллельно ведётся горизонтальное перемещение: от рядовых учётных записей к привилегированным аккаунтам, в первую очередь - к профилям руководителей. Используя внутренние справочники сотрудников, злоумышленники собирают контактные данные топ-менеджмента и затем, применяя дополнительную социальную инженерию, получают доступ к учётным записям высшего звена. В отчёте подчёркивается, что такое закрепление позволяет атакующим сохранять широкий и устойчивый доступ, практически неотличимый от легитимной сессионной активности руководителей.

Сбор данных ведётся целенаправленно и с использованием штатных функций облачных платформ. Злоумышленники злоупотребляют разрешениями Microsoft Graph API (в частности, Sites.Read.All) для выгрузки содержимого сайтов SharePoint, а также применяют внутренние механизмы поиска в Salesforce и других SaaS-решениях (программное обеспечение как услуга). Особое внимание уделяется файлам, содержащим ключевые слова вроде "confidential" или "SSN" (номера социального страхования). Таким образом, атакующие отбирают наиболее ценные данные - от отчётов с грифом "конфиденциально" до баз данных с личной информацией сотрудников.

Выгрузка украденной информации происходит напрямую через браузер или через экспорт по API. Используя легитимные сессии единого входа, злоумышленники скачивают большие объёмы данных - CSV-файлы с телефонными номерами сотрудников, коммерческие отчёты - и передают их на подконтрольную инфраструктуру. Чтобы избежать обнаружения, они стараются не вызывать подозрений у систем, анализирующих тип используемого приложения. Для промежуточного хранения данных применяются публичные файлообменные сервисы, такие как LimeWire или MEGA.

Кульминацией атаки становится вымогательство. Злоумышленники создали собственный сайт для публикации украденных данных (DLS) под брендом BlackFile. Требования о выкупе рассылаются как с произвольных адресов Gmail, так и со взломанных корпоративных почтовых ящиков самих жертв. Суммы требований обычно составляют от одного миллиона долларов и выше. Для усиления давления на руководство компаний используется практика SWATting - ложные вызовы полиции и спецподразделений по адресам проживания или работы топ-менеджеров. Это создаёт дополнительный психологический прессинг и может приводить к серьёзным репутационным и операционным последствиям.

Аналитики отмечают, что наиболее уязвимыми перед данной тактикой оказались организации розничной торговли и гостиничного бизнеса. Основной вектор - голосовой фишинг под видом IT-поддержки. Для снижения вероятности успешной атаки Unit 42 рекомендует пересмотреть политики безопасности в отношении телефонных обращений: внедрить обязательную многофакторную проверку личности звонящего, чётко регламентировать, какие действия по поддержке могут быть выполнены в рамках одного звонка без эскалации руководству. Кроме того, эффективно обучение персонала, работающего с телефонными обращениями, с использованием сценариев социальной инженерии и отработкой признаков подозрительных звонков - нечётких ответов на вопросы о личности и попыток создания срочной необходимости в немедленных действиях.

Многие компании из секторов ритейла и гостеприимства уже отмечают улучшение защищённости от подобных атак за счёт комбинации изменений политик, обучения сотрудников и внедрения технических мер контроля, включая анализ логов интернет-телефонии и настройку конфигураций многофакторной аутентификации. Однако, как показывают события последних месяцев, злоумышленники быстро адаптируются и продолжают совершенствовать свои методы, делая ставку на человеческий фактор, а не на технические уязвимости.

IPv4

• 111.235.93.125
• 112.207.101.227
• 112.207.108.30
• 112.209.151.78
• 119.111.248.227
• 136.158.24.160
• 136.158.27.101
• 136.158.27.72
• 136.32.210.197
• 136.35.103.90
• 146.70.172.228
• 179.43.185.226
• 184.93.0.17
• 185.193.127.130
• 185.231.33.62
• 199.127.61.200
• 208.131.130.67
• 24.177.37.97
• 35.139.72.161
• 37.19.210.9
• 72.180.124.192