В декабре 2024 года группа APT37, известная также под псевдонимом Squid Werewolf, запустила масштабную фишинговую кампанию, направленную на ключевых сотрудников компаний. Злоумышленники использовали инновационные методы, выдавая себя за рекрутеров и предлагая фиктивные вакансии.
Методы атаки и изменения в тактике
Фишинговые электронные письма, рассылаемые преступниками, часто имели вид сообщений от авторитетных организаций, что значительно повышало вероятность их успешного открытия. Примечательно, что в этой кампании были замечены следующие изменения:
- Переход от вложений в Microsoft Word и Excel к архивам, содержащим исполняемые файлы, скрипты или ярлыки.
- Использование фишинга с предложением работы как первого шага к атаке программ-вымогателей.
Технология исполнения атак
Атака начинается с открытия вредоносного файла, который инициирует серию операций. Вредоносный файл открывает файл быстрого доступа Windows с определённым именем (Work proposal.pdf.lnk), чтобы читать данные, закодированные в Base64. Эти данные:
- Разделяются и декодируются с использованием алгоритма Base.
- Копируются законный исполняемый файл Windows (dfsvc.exe) в папку автозагрузки для обеспечения сохранности в целевой системе.
Архитектура вредоносного ПО
Ключевые компоненты вредоносной программы, включая файлы конфигурации и средства удалённого доступа, хранятся в каталогах AppData и Temp пользователя. Вредоносный исполняемый файл d.exe после своего запуска:
- Проверяет подключение к Интернету.
- Отслеживает время выполнения программы для избежания обнаружения.
Шифрование и динамическое поведение
Для своей полезной нагрузки злоумышленники применяют шифрование AES-128 CBC, что гарантирует скрытность связи с серверами управления. Динамическое поведение этой полезной нагрузки включает:
- Выполнение сценариев PowerShell, связанных с известным трояном удалённого доступа VeilShell.
- Совершенствование тактик, использующих запутанный JavaScript и различные методы маскировки.
Рекомендации по защите
С учетом растущих угроз от APT37 и подобных групп, важным аспектом является развитие возможностей обнаружения с помощью современных решений для защиты от киберугроз. Эксперты рекомендуют:
- Регулярно обновлять системы безопасности.
- Обучать сотрудников распознаванию фишинговых атак.
- Использовать многофакторную аутентификацию для критически важных систем.
APT37 продолжает эволюционировать, и только внедрение современных технологий защиты и повышение осведомленности сотрудников помогут эффективно противостоять подобным угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "APT37: Новые тактики фишинга и угрозы вымогателей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.