През първото тримесечие на 2025 г. специалисти по киберсигурност от Sophos откриха нова вълна от таргетирани атаки, осъществявани от афилиейт на рансъмуер групата 3AM. Кампанията комбинира познати, но усъвършенствани тактики на социално инженерство, като „email bombing“, фишинг по телефона и злоупотреба с инструменти за отдалечен достъп, за да получи административен контрол над корпоративни мрежи и да открадне данни.

Използвани тактики: съчетание между стари и нови подходи

Атаките наподобяват похватите на групата Black Basta и включват следните етапи:

• Email bombing – жертвата е залята с десетки нежелани имейли в кратък интервал от време, за да бъде разсеяна и да се създаде усещане за спешност.

• Телефонен фишинг (vishing) – атакуващите се обаждат, представяйки се за ИТ отдел, използвайки фалшифициран телефонен номер, съвпадащ с реалния на организацията.

• Microsoft Quick Assist – убеждават жертвата да предостави отдалечен достъп под претекст за съдействие при „неоторизирана активност“.

• Изпълнение на зловреден код – чрез компрометиран архив, съдържащ VBS скрипт, QEMU емулатор и Windows 7 образ с предварително инсталиран заден вход (QDoor), нападателите стартират виртуална машина, с която осъществяват скрит достъп.

Действия в компрометираната среда

След получаване на достъп, атакуващите:

• Извършват разузнаване чрез WMIC и PowerShell;

• Създават локален администраторски акаунт и осъществяват връзка чрез RDP;

• Инсталират легитимния RMM инструмент XEOXRemote;

• Компрометират домейн администратор;

• Експортират над 868 GB данни към облачното хранилище Backblaze, използвайки инструмента GoodSync.

Опитите за криптиране на допълнителни системи чрез 3AM рансъмуер са били блокирани от защитата на Sophos, но компромисът вече е бил извършен – включително изтичане на данни и криптиране на хоста на жертвата.

Защо тази кампания е особено опасна?

Най-значимото в тази кампания е високата степен на персонализация и реализъм – реални телефонни номера, убеждаващи разговори с „ИТ поддръжка“, бързи атаки в рамките на дни и използване на легитимни инструменти, които избягват класически защити.

3AM рансъмуер се появява в края на 2023 г. и по-късно е свързан с Conti и Royal – две от най-известните престъпни структури в киберпространството.

Препоръки за защита

Sophos предлага следните мерки:

• Проверка на администраторските акаунти за слаби пароли и ненужни права;

• Блокиране на подозрителни легитимни инструменти, като QEMU и GoodSync, чрез XDR;

• Политики за изпълнение на скриптове, които изискват подписани PowerShell скриптове;

• Обучение на служителите за разпознаване на фишинг по имейл и телефон;

• Използване на IOC индикатори за създаване на блоклисти.

Заключение

Комбинацията от технологични инструменти и психологически натиск показва какво ниво на сложност са достигнали съвременните киберзаплахи. Атаките на 3AM показват, че дори добре защитени компании могат да станат жертва, ако липсва подходяща осведоменост и контрол върху отдалечените достъпи.