+7 495 269-26-07
+7 495 419-15-03
+7 495 269-26-07 +7 495 419-15-03
Личный кабинет
Техническая поддержка:
+7 495 269-26-07
+7 495 419-15-03
  • Блог
  • Какие существуют индикаторы мошенничества по теме COVID-19?

Какие существуют индикаторы мошенничества по теме COVID-19?

27.05.2020

COVID-19 породил не только борьбу врачебной практики против вируса, но и противостояние экспертов ИБ и активизировавшихся злоумышленников во всем мире. Angara Professional Assistance (входит в группу компаний Angara), осознавая социальную ответственность, считает, что лучшее оружие в такой борьбе – это распространение знаний. 

Так, в мае Microsoft и ее подразделение Microsoft Threat Intelligence опубликовали техники, тактики, процедуры (ТТP) и индикаторы компрометации (IOC), которые использовались злоумышленниками во вредоносных вложениях электронной почты в атаках, связанных с тематикой COVID-19. 

Материалы включают хэш отпечатки из фишинговых писем по теме COVID-19. Несколько примеров такого мошенничества.

• Спуффинг от Всемирной организации здравоохранения (ВОЗ) на тему лекарства и вложение CURE FOR CORONAVIRUS_pdf.gz или .docm с вредоносной нагрузкой:

Фото 1.png

Источник: www.microsoft.com

• Письмо от Red Cross Society с вредоносным документом COVID-19 SAFETY TIPS.docm:

Фото 2.png

Источник: www.microsoft.com

• Сообщение о банковских послаблениях в связи с COVID-19 и вложение SBSA-COVID-19-Financial Relief.html:

Фото 3.png

Источник: www.microsoft.com

• Письмо от ВОЗ на французском с вложением Excel с вредоносными макросами:

Фото 4.png

Источник: www.microsoft.com

Эксперты Angara Professional Assistance отмечают, что все письма объединяет использование якобы официальных лиц в источниках и, что более важно, вложения странного формата. Эти типы вложений – .gz, .docm (документ Microsoft Word 2007-2013 Open XML с поддержкой макросов (Word Open XML Macro-Enabled Document), .html, макросы – в отличие от стандартных .doc и .docx без макросов имеют активное содержимое, которое при открытии документа сразу выполняет определенное вредоносное действие в системе. 

В официальной рассылке вероятная необходимость использования документов с аналогичным активным содержимым близка к нулю. Максимально возможный сценарий – получение документов с активными макросами внутри вашей компании в связи с использованием неких расчетов в них (например бухгалтерских). Тогда как официальные уведомления не имеют необходимости использования подобного формата, и тем более форматов .gz или .html в виде вложения. Это должно настораживать, и открывать такого рода документы крайне не рекомендуется.

Доступ к полному перечню индикаторов из Microsoft Azure Sentinel можно получить следующим образом:

• запросом в системе Azure:

let covidIndicators = (externaldata(TimeGenerated:datetime, FileHashValue:string, FileHashType: string )

[@"https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/Microsoft.Covid19....]

with (format="csv"));

covidIndicators

• Также набор знаний доступен на GitHub в облаке Azure:

covidIndicators

| join ( CommonSecurityLog | where TimeGenerated >= ago(7d)

| where isnotempty(FileHashValue)

) on $left.FileHashValue == $right.FileHash

• MISP: https://aka.ms/msft-covid19-misp.

• Через интерфейс Microsoft Graph Security API.