Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Cobalt Strike используют против российских организаций, размещая малварь на GitHub и в соцсетях (http://txgate.io:443/showthread.php?t=51302178)

Artifact 07-31-2025 10:26 AM
<div id="post_message_806532">

Специалисты «Лаборатории Касперского» <a href="https://securelist.ru/cobalt-strike-attacks-using-quora-github-social-media/113139/" target="_blank">обнаружили </a>новые атаки на российские организации с использованием маяков Cobalt Strike (Cobalt Strike Beacon). Для обхода обнаружения и запуска малвари злоумышленники размещают зашифрованный код в профилях на легитимных сервисах, включая GitHub и соцсети.<br/>
<br/>
В своем отчете исследователи отмечают, что подобные атаки впервые были замечены во второй половине 2024 года — тогда они затронули Россию, Китай, Японию, Малайзию и Перу.<br/>
<br/>
К 2025 году активность злоумышленников пошла на спад, и специалисты продолжали фиксировать лишь точечные всплески. Но в июле 2025 года эксперты обнаружили новые вредоносные файлы, нацеленные только на российские предприятия (в основном крупный и средний бизнес).<br/>
<br/>
Атаки начинаются с рассылки фишинговых писем, имитирующих сообщения от крупных государственных компаний (в частности, из нефтегазового сектора), которые якобы заинтересованы в продуктах или услугах организаций-жертв. Во вложении находится вредоносный архив с файлами, замаскированными под PDF-документы с описанием требований, необходимых для ознакомления. На самом деле среди них есть вредоносные исполняемые файлы .exe и .dll.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/545399/Cobalt-Strike-Beacon1.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Фишинговое письмо

</td>
</tr>
</table>
</div>Чтобы запустить малвари, атакующие используют распространенный метод подмены DLL (Dynamic Link Library), а также легитимную утилиту Crash reporting Send Utility (оригинальное название файла BsSndRpt.exe), входящую в состав решения BugSplat, предназначенную для отправки отчетов о сбоях. Изначально она создавалась для разработчиков, чтобы те могли получать информацию о проблемах в работе приложений в режиме реального времени. В результате действий атакующих утилита открывала вредоносный файл вместо легитимного.<br/>
<br/>
Чтобы малварь могла функционировать далее, она извлекает и загружает код, который хранится в зашифрованном виде в публичных профилях на популярных легитимных платформах.<br/>
<br/>
Исследователи обнаружили код в репозиториях на GitHub, а ссылки на него в зашифрованном виде содержались внутри профилей на GitHub, Microsoft Learn Challenge, Quora, а также в российских соцсетях. Причем все эти профили и страницы были созданы специально для этой вредоносной кампании.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/545399/Cobalt-Strike-Beacon5-1536x1451-1.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Профили злоумышленников

</td>
</tr>
</table>
</div>После выполнения вредоносного кода на устройствах жертв запускается маяк Cobalt Strike, то есть системы оказывались скомпрометированы.<br/>
<br/>
«Мы не обнаружили свидетельств того, что злоумышленники взламывали аккаунты реальных людей, и полагаем, что все учётные записи были специально созданы для кибератак. При этом отмечу, что они могли задействовать цифровые платформы и по-другому. Например, разместить вредоносный контент в комментариях к сообщениям легитимных пользователей. Эти примеры подтверждают, что схемы атак усложняются, несмотря на то, что инструменты остаются прежними. Поэтому компаниям для обеспечения надежной защиты важно следить за актуальными данными о киберугрозах и осуществлять постоянный мониторинг состояния как цифровой инфраструктуры, так и всего периметра организации», — комментирует Максим Стародубов, эксперт по киберугрозам «Лаборатории Касперского».<br/>
<br/>
<a href="https://xakep.ru/2025/07/31/cobalt-strike-attacks" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 09:19 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.