Bagaimana para penipu Runet bereaksi terhadap coronavirus

Setelah mencatat tentang apa bentuk ancaman cyber yang terkait dengan coronavirus, saya memutuskan untuk melihat bagaimana Internet Rusia menanggapi pandemi dan apa yang terjadi dengan ancaman cyber di negara kita, yaitu situs phishing dan penipuan.



Sebagai titik awal, saya mulai menggunakan layanan pemantauan dan perlindungan DNS kami - Cisco Umbrella , yang memproses lebih dari 150 miliar permintaan DNS per hari dan menganalisisnya untuk malware. Menggunakan Alat Investigasi Investigasi Payung Cisco , hal pertama yang saya putuskan untuk lakukan adalah memeriksa seberapa aktif domain yang dibuat menggunakan kata kunci "covid" dan "coronavirus" dalam nama mereka. Selama 7 hari terakhir, yang berikut ini muncul:

- 257 domain dengan "coronavirus", di mana 170 kami diklasifikasikan sebagai berbahaya



- 271 domain dengan "covid", di mana 121



- 349 domain dengan "mask" diklasifikasikan sebagai berbahaya (dan jumlahnya terus bertambah) , yang hanya 9 yang diklasifikasikan sebagai berbahaya dan 1 sebagai phishing.



Klasifikasi domain jahat masih awal, karena banyak domain hanya terdaftar tetapi belum digunakan oleh penjahat cyber.



Ambil contoh domain covid19-russia [.] Ru dan coba lakukan investigasi blitz di atasnya:



Domain itu didaftarkan pada 17 Maret, yang umumnya tidak mengejutkan dan tidak boleh menimbulkan kecurigaan dalam kasus khusus ini, seperti dalam kasus lain di mana tanggal pembuatan domain adalah indikator yang sangat penting untuk mendeteksi aktivitas berbahaya. Untuk pandemi coronavirus, sulit untuk mengharapkan apa yang diketahui tentang hal itu tahun lalu atau sebelumnya. Oleh karena itu, domain yang didedikasikan untuk coronavirus mulai muncul sekarang.



Mari kita lihat alamat IP di mana domain ini hang. Seperti yang dapat kita lihat, ini juga merupakan tempat perlindungan bagi sejumlah domain, beberapa di antaranya terkait dengan pandemi saat ini:



Dan kami memiliki alamat yang sama dengan sejumlah program jahat yang menyebar dari alamat IP tertentu atau situs yang tergantung padanya, atau menggunakan alamat ini sebagai saklar mematikan, atau menggunakannya sebagai server perintah, yang mengirimkan perintah yang sesuai dan menerima tanggapan dari korban yang terinfeksi kode berbahaya. Yang pertama dalam daftar sampel berbahaya yang terkait dengan IP yang ditentukan, kita lihat Emotet, yang telah disebutkan dalam artikel sebelumnya:



Sampel ini digunakan dalam kampanye lain yang dinilai dengan analisis interaksi jaringannya:



Jika Anda menggunakan layanan Cisco lain, yaitu kotak pasirCisco Threat Grid , maka kita dapat memperoleh informasi lebih rinci tentang sampel ini, misalnya, daftar rinci indikator perilaku yang "berhasil" dalam kasus ini:



Menganalisa proses yang diluncurkan sebagai bagian dari pekerjaan Emotet pada komputer korban:



kami memahami bahwa dalam hal ini Dalam hal ini, itu adalah dokumen MS Word yang diterima / diunduh oleh korban yang berinteraksi dengan alamat IP dan domain yang kami periksa:



Jika perlu, kami dapat menghubungkan indikator yang diidentifikasi dengan matriks MITER ATT & CK, yang digunakan oleh banyak SOC sebagai bagian dari kegiatannya:



Namun kembali ke analisis alamat IP yang kami minati, di mana beberapa domain yang mengeksploitasi tema coronavirus "hang". Alamat ini terletak di sistem otonom AS198610, yang juga terkait dengan aktivitas jahat tertentu, misalnya, dari peta distribusi online COVID-19 coronavirusmaponline [.] Com:



yang dibuat pada 23 Maret 2020:



dan di situs web siapa 1 April kode berbahaya telah muncul. Mungkin ini terjadi dengan sengaja, atau mungkin situs itu diretas dan malware ditempatkan di sana; ini membutuhkan penyelidikan terpisah.



Saya tidak menganalisis semua ratusan situs yang dibuat pada minggu lalu (dan dalam sebulan jumlahnya sudah melebihi seribu), tetapi gambarnya sama. Sebagian besar situs yang namanya mengandung kata "covid" atau "coronavirus" berbahaya dan dengan kedok berita tentang pandemi, tentang jumlah kasus yang sebenarnya, tentang cara untuk memerangi COVID-19, mereka menyebarkan kode berbahaya dan menginfeksi pengguna dengan malware yang "akrab". program.

Tidak mengherankan, di balik nama-nama besar biasanya tidak ada apa-apa. Seringkali ini adalah situs WordPress yang dibuat dengan cepat, misalnya, seperti coronavirus19-pandemia [.] Ru:



Pada saat yang sama, upaya untuk mengarahkan situs-situs tersebut melalui Cisco Threat Grid mengungkapkan berbagai keganjilan yang mungkin melekat pada kode jahat (meskipun ini mungkin tangan-tangan yang tidak lurus dari programmer yang “dengan cepat” membuat situs dari apa itu sebelumnya). Saya tidak mulai melakukan analisis yang lebih dalam dari setiap situs karena kurangnya waktu. Tetapi mengingat posting terakhir di mana saya menyebutkan plugin jahat untuk WordPress, serta praktik umum meretas situs WordPress dan menyebarkan kode jahat melalui mereka, saya dapat berasumsi bahwa seiring waktu situs ini akan menunjukkan wajah aslinya.



Pengamatan menarik lain yang saya buat terkait dengan komunitas tertentu dari domain yang dibuat. Misalnya, saat pertama kali kita melihatnya. Untuk beberapa alasan, banyak dari mereka jatuh ke mata kita pada saat yang sama.



Namun seringkali mereka berada dalam sistem otonomi yang sama. Sebagai contoh, tiga domain adalah coronavirus19-pandemia [.] Ru yang disebutkan sebelumnya, maskacoronavirus [.] Ru dan mask-3m [.] Ru. Untuk beberapa alasan, ketiganya terletak di AS 197695, dan banyak dari mereka ditandai oleh Cisco Umbrella sebagai berbahaya, dengan peringkat negatif maksimum 100. Topeng-3m [.] Ru domain itu sendiri memiliki peringkat tidak berbahaya (pada saat penulisan, 28), tetapi di-host di alamat IP 31 [.] 31 [.] 196 [.] 138, yang ada dalam daftar hitam kami dan yang dikaitkan dengan berbagai aktivitas jahat:



Omong-omong, sistem otonom AS 197695 ini telah menjadi surga bagi banyak sumber daya berbahaya. Sebagai contoh, ia menjadi tuan rumah situs phishing telegramm1 [.] Ru:



dan awitoo [.] ru, yang tidak hanya terlihat seperti situs phishing, tetapi juga menyebarkan kode berbahaya. Berikut adalah cara sistem Respon Ancaman Cisco menampilkan tautan antara domain ini dan berbagai artefak :



Domain phishing yang terkait dengan proyek Voice 1, jejaring sosial Facebook, toko online Amazon, layanan iCloud, dan proyek Apple lainnya juga berlokasi di sana. dengan toko optik "Ochkarik", dan banyak lainnya.

Topik situs yang mengumpulkan uang untuk melawan coronavirus tidak diabaikan. Misalnya, berikut adalah dana coronavirus yang mengumpulkan donasi semacam itu (Anda hanya perlu mentransfer uang ke kartu):



Gambaran serupa ada pada situs web covid-money [.] Ru, yang mengajarkan cara menghasilkan uang pada COVID-19. Untuk melakukan ini, tinggalkan aplikasi yang sesuai dan seorang manajer akan menghubungi Anda, yang akan memberi tahu Anda rahasia penghasilan. Benar, kedua situs ini, Ukraina dan Rusia, "menggantung" pada IP yang sama dengan yang kami temukan kode berbahaya terkait:



Untuk kebetulan yang aneh, domain juga melekat padanya, konon, Cisco:



Omong-omong, seperti " tempat berkembang biak untuk cybercoronavirus, ketika pada alamat yang sama atau dalam satu jaringan otonom, ada beberapa sumber daya berbahaya, cukup banyak. Misalnya, pada IP 88 [.] 212 [.] 232 [.] 188 beberapa lusinan domain "hang" sekaligus, yang, dilihat dari namanya, ditujukan ke kota-kota spesifik Rusia - Yekaterinburg, Saratov, Irkutsk, Kazan, Belgorod, Khabarovsk dan dll.



Sekarang saya ingin kembali ke domain tempat saya memulai artikel ini. Domain ini "hang" pada alamat IP 87 [.] 236 [.] 16 [.] 164, yang dengannya, selain lusinan domain lainnya, sebuah domain dengan alamat yang menarik dikaitkan: antivirus.ru [.] Com. Ketika Cisco Threat Response mengidentifikasikannya sebagai mencurigakan selama penyelidikan, saya pertama kali berpikir bahwa situs pada domain ini mendistribusikan antivirus dengan analogi dengan cerita yang saya bicarakan terakhir kali (perangkat lunak antivirus yang memerangi COVID-19 nyata).



Tapi tidak. Ternyata ini adalah situs toko online, dibuat pada 6 Maret. Saya mendapat kesan bahwa mereka yang membuatnya mengambil mesin siap pakai untuk toko pakaian wanita sebagai dasar dan hanya menambahkan barang "panas" terkait dengan coronavirus di sana - masker medis, antiseptik, gel tangan dan sarung tangan.



Tetapi baik pengembang tidak mendapatkannya, atau mereka tidak ingin melakukannya, tetapi sekarang tidak mungkin untuk membeli apa pun di situs - tautan pembelian tidak mengarah ke mana pun. Selain mengiklankan agen antimikroba yang sangat spesifik dan aktivitas mencurigakan di situs itu sendiri dalam proses pelaksanaannya, situs tersebut tidak ada yang lebih berguna. Dan dia tidak punya apa-apa untuk dikunjungi, dan jumlah ini diukur dalam satuan. Tetapi seperti contoh berikut akan menunjukkan, jika Anda mulai mempromosikan domain ini, maka itu dapat mengarah pada infrastruktur bercabang yang digunakan oleh penjahat cyber.



Dengan domain dengan nama kata "topeng" disebutkan, situasinya terus berkembang dengan cepat. Beberapa domain dibuat khusus untuk penjualan berikutnya. Beberapa domain baru saja dibuat, tetapi belum terlibat. Beberapa domain jelas-jelas phishing atau langsung menyebarkan kode berbahaya. Beberapa sumber daya hanya parasit pada topik pandemi dan dengan harga selangit mereka menjual respirator dan masker medis, yang sampai saat ini harganya 3-5 rubel masing-masing. Dan sangat sering semua domain ini saling berhubungan, seperti yang ditunjukkan di atas. Seseorang membuat dan mengelola infrastruktur semacam ini dari domain jahat, mengeksploitasi tema coronavirus.

Perlu dicatat bahwa situasi serupa dicatat tidak hanya di Runet. Ambil domain mygoodmask [.] Com, yang dibuat pada 27 Februari dan, dilihat dari distribusi permintaannya, populer di kalangan pemirsa di Amerika Serikat, Singapura, dan Cina. Dia juga menjual masker medis. Dengan sendirinya, situs ini tidak menimbulkan kecurigaan dan memasukkan alamatnya dalam Cisco Threat Response kita tidak akan melihat sesuatu yang menarik:



Tetapi tanpa berhenti pada ini, kita melangkah lebih jauh dan memahami bahwa ketika kita mencoba mengakses mygoodmask [.] Com (catatan bahwa indikator perilaku dalam kasus ini mirip dengan yang sebelumnya):



kita dialihkan ke greatmasks [.] com, yang memutuskan ke dua alamat IP - 37 [.] 72 [.] 184 [.] 5 [[]] 5 dan 196 [.] 196 [.] 3 [.] 246, yang terakhir adalah berbahaya dan telah menginangi banyak situs jahat selama beberapa tahun terakhir. Alamat IP pertama diselesaikan ke beberapa domain yang terkait dengan penjualan masker medis - safetysmask [.] Com, flumaskstore [.] Com, maskhealthy [.] Com, dll. (total lebih dari selusin).



Kami dapat menampilkan informasi yang sama, tetapi disajikan secara berbeda, menggunakan Cisco Threat Response, solusi gratis untuk menyelidiki insiden, yang telah saya curahkan beberapa artikel tentang Habré:



Analisis data selama seminggu terakhir menggunakan Cisco Umbrella Investigate menunjukkan bahwa kami masih memiliki "pemimpin" yang jelas yang mengakumulasi hampir 80% dari semua sumber daya berbahaya yang terkait dengan pandemi coronavirus, sistem otonom AS 197695:



Itu, di samping dari semua contoh yang dijelaskan di atas, pada kenyataannya, ia melayani tidak hanya topik COVID-19, tetapi juga banyak lainnya, yang menunjukkan bahwa penyerang tidak memiliki preferensi untuk pandemi saat ini. Hanya saja mereka memanfaatkan kesempatan informasi dan menyebarkan kode berbahaya pada gelombangnya, memikat pengguna ke situs phishing dan jika tidak membahayakan pengguna Runet biasa.



Ketika hype di sekitar pandemi mereda, infrastruktur yang sama akan digunakan untuk mempromosikan topik lain. Sebagai contoh, infrastruktur yang disebutkan di atas, penyelidikan yang dimulai dengan situs mygoodmask [.] Com, sebenarnya baru-baru ini mulai "mempromosikan" topik masker medis - sebelum itu, ia telah terlibat dalam distribusi pengiriman phishing tentang acara-acara olahraga, aksesori pakaian, termasuk kacamata hitam dan tas, dll. Dan dalam hal ini, penjahat cyber kita tidak jauh berbeda dari rekan asing mereka.



Nah, kesimpulan dari penyelidikan blitz ini, yang saya lakukan pada malam 1 April, akan sederhana - penipu menggunakan apa pun, bahkan seperti virus COVID-19 dengan tingkat kematian yang tinggi, alasan untuk kegiatan mereka. Oleh karena itu, Anda tidak perlu rileks dan berpikir bahwa situs yang kami kunjungi dengan kartu distribusi pandemi online, atau penawaran buletin untuk membeli respirator, atau bahkan tautan jejaring sosial yang mengarah ke situs untuk telekonferensi, pada awalnya aman. Kewaspadaan! Inilah yang membantu kami meningkatkan keamanan kami saat berselancar di Internet. Dan solusi Cisco yang dijelaskan dalam artikel ini ( Cisco Umbrella Investigate , Cisco Threat Grid , Cisco Threat Response) membantu spesialis melakukan investigasi dan mengidentifikasi secara tepat waktu ancaman cyber yang dijelaskan.

PS Sementara itu, topik yang muncul tentang penciptaan besar-besaran situs palsu yang terkait dengan sistem manajemen acara Zoom online, saya belum menemukan sumber daya seperti itu di RuNet, yang tidak dapat dikatakan tentang sisa Internet, di mana banyak domain seperti itu telah dibuat.