|
Киберпреступники вернулись к вымогательским атакам, используя новый инструмент для пентеста и старый способ заражения. https://www.securitylab.ru/upload/ib...9jto1efhth.jpg Согласно новому отчету Trend Micro, после короткого перерыва группировка Black Basta возобновила распространение вредоносного ПО QAKBOT 8 сентября 2022 г. В обнаруженной кампании злоумышленники распространяют QAKBOT через SmokeLoader , Emotet и вредоносный спам, а затем развертывают фреймворк Brute Ratel в качестве полезной нагрузки второго этапа. https://www.securitylab.ru/upload/im...t-img(578).png Временная шкала атаки Обнаруженная кампания начинается с электронного письма, содержащего вредоносный URL-адрес, на котором нужно скачать архив с документами. https://www.securitylab.ru/upload/im...t-img(579).png Вредоносная страница Архив содержит ISO-файл, который представляет из себя видимый LNK-файл и два скрытых подкаталога, каждый из которых содержит различные файлы и каталоги. https://www.securitylab.ru/upload/im...t-img(580).png Содержимое ISO-файла Кроме того, инфраструктура C&C-сервера географически распределена между скомпрометированными хостами, находящимися преимущественно в широкополосных сетях интернет-провайдеров (ISP) в 28 странах. Операторы QAKBOT пользуются каждым C&C-сервером один раз и часто меняют их в каждой кампании, хотя некоторые сохраняются в нескольких конфигурациях QAKBOT. Через 6 минут после внедрения QAKBOT проводит разведку в сети, а затем сбрасывает DLL-библиотеку Brute Ratel. Дальнейшая разведка выполняется в среде для выявления привилегированных пользователей, Active Directory, групповых политик, доменов, компьютеров и пользователей. Вся собранная информация упаковывается в ZIP-файл и эксфильтруется. По словам экспертов, боковое перемещение киберпреступники выполняют с помощью Cobalt Strike https://www.securitylab.ru/upload/im...t-img(581).png Страница с вредоносным файлом Также исследователи выявили еще одну кампанию Black Basta, в ходе которой вредоносное ПО доставляется в виде защищенного паролем ZIP-файла с помощью техники HTML Smuggling, что позволяет злоумышленнику внедрить закодированный вредоносный скрипт HTML-вложение или на веб-страницу в обход средств безопасности. Как только пользователь открывает HTML-страницу в браузере, скрипт декодируется и доставляется полезная нагрузка QAKBOT. Исследователи Trend Micro написали несколько рекомендаций, чтобы избежать атак такого типа:<ul><li>Перед загрузкой вложений или переходом по ссылкам из писем проверьте отправителя и содержимое письма;</li> </ul><ul><li>Наведите указатель мыши на ссылку, чтобы увидеть, на какую страницу она ведет;</li> </ul><ul><li>Проверьте личность отправителя. Не взаимодействуйте с письмом от неизвестного отправителя.</li> </ul> |
| All times are GMT. The time now is 12:10 AM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.