Advokatų biurai tapo pagrindiniais „GootLoader“ ir „FakeUpdates“ taikiniais

parašė Gabrielė E. Hall - - 2023-03-17

Advokatų biurams buvo paleistos dvi atskiros kampanijos

Pasaulyje nuolat sklando daugybė skirtingų kibernetinių virusų ir sugalvojamos įvairios kampanijos, siekiant kuo gudriau pasiekti galimas aukas. Advokatų biurai yra vienas iš pagrindinių kibernetinių nusikaltėlių taikinių, nes jos turi prieigą prie neskelbtinos informacijos. Kibernetinio saugumo įmonės „eSentire“ duomenimis, 2023 m. sausio ir vasario mėnesiais net šešios skirtingos advokatų kontoros tapo pagrindiniais dviejų atskirų atakų taikiniais. Šiose atakose buvo stengiamasi įdiegti „GootLoader“ ir „SocGholish“^[1] kenkėjiškas programas. Išpuoliams buvo pasitelkiami sudėtingi metodai, siekiant įsiskverbti į advokatų kontorų tinklus ir sistemas.

„GootLoader“ yra atsisiuntimo programa, kuri pirmą kartą buvo identifikuota 2020 metų pabaigoje^[2]. Nuo to laiko ji buvo naudojama patalpinti įvairius kenkėjiškus darinius į įrenginius, pvz., „Cobalt Strike“ ar išpirkos reikalaujančios programos (ang. ransomware). Kenkėjiška programa naudoja paieškos sistemų optimizavimą (SEO), kad aukas, ieškančias su verslu susijusių dokumentų, nukreiptų į greito atsisiuntimo svetaines, kurios pasiūlo „JavaScript“ kenkėjišką programą.

Pirmojoje kampanijoje užpuolikai sukompromitavo pažeidžiamas „WordPress“ svetaines, kad pridėtų naujų tinklaraščio įrašų, kuriuose buvo teisinio pobūdžio raktiniai žodžiai. Užkrėsti tinklaraščiai buvo naudojami siekiant pritraukti teisinių firmų darbuotojus ir taip pakelti svetainių vietą paieškos sistemose. Tada aukos buvo nukreipiamos į netikrą forumo svetainę, kur buvo paraginamos atsisiųsti tariamą susitarimo ar sutarties šabloną, kuris iš tikrųjų buvo „GootLoader“.

„SocGholish“ kenkėjiška programa, dar žinoma kaip „FakeUpdates“, buvo naudojama antroje kampanijoje, kuri taip pat buvo nukreipta į advokatų biurų darbuotojus ir kitus verslo specialistus. Ši programinė įranga leidžia užpuolikams atlikti žvalgybą ir paleisti kitas norimas programas, tokias kaip „Cobalt Strike“ ir „LockBit“ išpirkos reikalaujanti programa.

Išpuoliams buvo naudojami pažeisti domenai, įskaitant perimtą Majamio notarų įmonės svetainę. Į nulaužtą svetainę buvo patalpintas „SocGholish“ virusas, kuris pasirodydavo vietoj iššokančio pranešimo, patariančio vartotojams atnaujinti „Chrome“ naršyklę. „SocGholish“ kūrėjai užkrečia daugybę mažesnio srauto svetainių, kad vėliau gautų didelės vertės tikslines svetaines, pvz., advokatų biurų puslapius.

Jautri informacija apie klientus, žmones ir vartotojus yra patrauklus įsilaužėlių ir įvairių kibernetinių nusikaltėlių tikslas. Tokios kampanijos, kuriose plinta jautrios informacijos vagystės, yra dažnos. Kiti išpuoliai prieš tam tikras įmones, pvz., „Google“ ar socialinių tinklų platformas, irgi pridaro daug bėdų, nes taip gali būti pavagiama išsami vartotojų duomenų informacija ir prasidėti tiesioginiai sukčiavimai.

Manoma, kad kibernetinių nusikaltėlių tikslas buvo šnipinėjimas

Išpuoliai prieš advokatų biurius, pasitelkiant „GootLoader“ ir „SocGholish“ kenkėjiškas programas, kelia nerimą, nes atrodo, kad tokios kampanijos yra skirtos šnipinėjimo operacijoms, o ne finansinei naudai gauti. Užpuolikai neįdiegė jokios išpirkos reikalaujančios programos, o pirmenybę teikė praktinei veiklai. Tai rodo, kad atakos galėjo būti įvairios ir apimti kibernetinio šnipinėjimo operacijas. Kaip pažymėjo „eSentire“ tyrėjas Keeganas Keplingeris^[3]:

Iki 2021 metų el. paštas buvo pagrindinis infekcijos pernešėjas, kurį naudojo oportunistinių grėsmių skleidėjai. Nuo 2021 iki 2023 metų naršyklėmis pagrįstų atakų nuolat daugėjo, jos gali konkuruoti su el. paštu kaip pagrindiniu infekcijos sukėlėju.

Šią tendenciją daugiausia lėmė „GootLoader“, „SocGholish“, „SolarMarker“ ir naujausios kampanijos, naudojančios „Google Ads“, kad patektų į geriausius paieškos rezultatus.

Be galimo neskelbtinos informacijos praradimo, teisinės įmonės ir kitos kompanijos, į kurias taikosi kenkėjiškų programų atakų kūrėjai, jos taip pat gali susidurti su rimtomis teisinėmis pasekmėmis. „GootLoader“ naudoja apgaulingą SEO praktiką, kad įtrauktų puslapį į susijusius „Google“ paieškos rezultatus, todėl svetainėms, kuriose naudojama nesaugi svetainė, taip pat kyla kenkėjiškų programų atakų pavojus.

Problema ta, kad ši parsisiuntimo programa keičia dabartines svetaines ir siūlo įvairias kitas svetaines, kai tik apsilankoma jūsų nuorodoje, todėl keičiasi tam tikrų žmonių suvokimas apie konkrečias svetaines. Dėl to gali būti skiriamos didelės baudos ir gali atsirasti bandymai sukčiauti, nes „GootLoader“ siunčia vartotojus į puslapį, kuris gali būti naudojamas kaip „spąstai“ arba „masalas“ neatsargiems vartotojams.

Prevencinės priemonės, kurių turėtų imtis įmonės

Kad išvengtų „GootLoader“ ir kitų kenkėjiškų programų atakų, organizacijos turi imtis prevencinių priemonių, pavyzdžiui, vengti atsisiųsti paveiktų įskiepių, ypač paties „GootLoader“ papildinio.

Nelaimių prevencija naudojant TVS ir tinklalapius taip pat apima įspėjamųjų ženklų pastebėjimą, pvz., „JavaScript“ failą valdo „Wscript“ ir „agreement.js“ failas (svetainių anglų kalba naudotojams). Be to, organizacijos taip pat turi nuolat atnaujinti savo programinę įrangą, naudoti dviejų veiksnių autentifikavimą ir įdiegti tinkamus saugos protokolus.

Apibendrinant, teisinės firmos ir verslai turi išlikti budrūs dėl didėjančios kenkėjiškų programų atakų grėsmės. „GootLoader“ ir „SocGholish“ kampanijos pademonstravo galimus pavojus, kuriuos kelia tokios sudėtingos kenkėjiškos programos.

Apie autorių

Gabriel E. Hall - Entuziastinga virusų tyrėja

Gabrielė E. Hall yra entuziastinga virusų tyrėja, kuri dirba Virusai.lt portale beveik dešimtmetį.

Susisiekite su Gabriel E. Hall
Apie kompaniją Esolutions

Šaltiniai

^ Andrew Northern. Part 1: SocGholish, a very real threat from a very fake update. ProofPoint.
^ Govand Sinjari, Andy Morales. Welcome to Goot Camp: Tracking the Evolution of GOOTLOADER Operations. Mandiant.
^ Ravie Lakshmanan. Cybercriminals Targeting Law Firms with GootLoader and FakeUpdates Malware. The Hacker News.