Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Операторы вымогателя 3AM прикидываются ИТ-поддержкой и заваливают цели письмами (http://txgate.io:443/showthread.php?t=51297284)

WWW 05-26-2025 12:05 PM
<div id="post_message_793693">

Операторы вымогателя 3AM проводят таргетированные атаки на намеченные цели. Хакеры бомбардируют сотрудников организаций письмами и звонят, притворяясь сотрудниками поддержки, чтобы вынудить пользователей предоставить учетные данные для удаленного доступа к корпоративным системам.<br/>
<br/>
Эксперты компании <a href="https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist/" target="_blank">Sophos </a>пишут, что ранее подобные тактики в основном использовали операторы шифровальщика Black Basta, а также хакерская группа FIN7, но теперь эффективность таких атак привела к их более широкому распространению.<br/>
<br/>
Исследователи сообщают, что в период с ноября 2024 года по январь 2025 года было зафиксировано не менее 55 атак с использованием таких техник, и связывают эту активность с двумя разными кластерами угроз.<br/>
<br/>
Атаки включают отправку множества электронных писем, вишинг (голосовой фишинг) через Microsoft Teams и злоупотребление Quick Assist. Судя по всему, <a href="https://xakep.ru/2025/02/21/black-basta-leak/" target="_blank">утечка внутренних чатов</a> Black Basta, произошедшая в начале 2025 года, оказалась полезной для других злоумышленников. Ведь теперь они используют шаблон для фишинговых атак через Microsoft Teams и тоже выдают себя за сотрудников ИТ-отделов.<br/>
<br/>
Одна из атак вымогателя 3AM, направленная на клиента Sophos, произошла в первом квартале 2025 года, длилась девять дней, и хакеры использовали аналогичный подход. Только вместо Microsoft Teams они начали с телефонного фишинга.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/513228/timeline.jpg"/><br/>
<br/>
Злоумышленники подменили реальный номер телефона ИТ-отдела клиента, чтобы звонок выглядел правдоподобно. При этом звонили хакеры на фоне отправки множества вредоносных писем: всего за три минуты жертва получила 24 таких письма.<br/>
<br/>
Таким образом злоумышленник убедил сотрудника целевой компании открыть Microsoft Quick Assist и предоставить удаленный доступ, якобы для защиты от вредоносной активности. Затем хакер загрузил в систему и распаковал вредоносный архив, содержащий VBS-скрипт, эмулятор QEMU и образ Windows 7 с бэкдором QDoor.<br/>
<br/>
QEMU использовался для уклонения от обнаружения, путем маршрутизации сетевого трафика через виртуальные машины, созданные на этой платформе, что позволило хакерам получить постоянный, но незамеченный доступ к сети цели.<br/>
<br/>
В итоге атакующие провели разведку в сети целевой компании с помощью WMIC и PowerShell, создали учетную запись локального администратора для подключения по RDP, установили коммерческий RMM-инструмент XEOXRemote и скомпрометировали учетную запись администратора домена.<br/>
<br/>
Хотя Sophos утверждает, что ее продукты заблокировали попытки бокового перемещения и отключения защиты, злоумышленники все же сумели похитить 868 ГБ данных, загрузив их в облачное хранилище Backblaze с помощью инструмента GoodSync.<br/>
<br/>
Также утверждается, что инструменты Sophos блокировали последующие попытки запустить в сети компании шифровальщик 3AM, так что ущерб для организации ограничился кражей данных и шифрованием взломанного хоста.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/513228/note.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Вымогательская записка

</td>
</tr>
</table>
</div>В качестве защиты от подобных атак эксперты Sophos предлагают проводить аудит учетных записей администраторов на предмет низкого уровня безопасности, использовать инструменты XDR для блокировки несанкционированной активности легитимных инструментов (таких как QEMU и GoodSync), а также разрешить выполнение только подписанных скриптов с помощью политик выполнения PowerShell.<br/>
<br/>
Также рекомендуется использовать известные индикаторы компрометации для создания списков блокировки, которые смогут предотвратить атаки из известных вредоносных источников.<br/>
<br/>
<a href="https://xakep.ru/2025/05/23/3am-attacks/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 06:15 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.