Цепочка кибератак KongTuke представляет собой сложную и изощренную угрозу, направленную на пользователей Интернета через взломанные законные веб-сайты. В рамках этой атаки злоумышленники применяют вредоносные скрипты, которые имеют цель захватить буфер обмена пользователей и потенциально установить неопознанное вредоносное ПО в их системы.
Как работает атака?
Атака KongTuke осуществляется через внедрение вредоносного скрипта на уязвимые веб-сайты. Одним из примеров такого сайта является hxxps://lancasternh.com/6t7y.js, который служит каналом связи с другим скриптом по адресу hxxps://lancasternh.com/js.php. Основные этапы атаки включают:
- Создание поддельных страниц с капчей, которые обманным путем предлагают пользователям подтвердить свою личность.
- Использование метода захвата буфера обмена для внедрения вредоносного сценария PowerShell в буфер обмена жертвы.
- Обман пользователей для вставки и запуска скрипта в окне запуска Windows, что позволяет подключиться к удалённому серверу с IP-адресом 138.199.156.22:8080.
С этого сервера могут быть получены дополнительные вредоносные данные на основе временной метки.
Последствия атаки
Кампания KongTuke привлекла внимание сообщества кибербезопасности и была распространена под хэштегом #KongTuke. Результаты анализа показывают, что трафик после заражения соответствует шаблонам, связанным с AsyncRAT, известным трояном удаленного доступа. Тем не менее, конкретная вредоносная программа остаётся неизвестной, так как образцы ещё предстоит проанализировать.
Проблемы кибербезопасности
Эволюционирующий характер атаки KongTuke подчеркивает значительные проблемы, с которыми сталкиваются специалисты по кибербезопасности при борьбе с подобными угрозами. Исследовательская группа 42 Palo Alto Networks продолжает отслеживать и анализировать инфраструктуру атаки, одновременно предупреждая общественность об угрозе, исходящей от этой обманчивой тактики.
Сложность атаки заключается в способности злоумышленников использовать доверие пользователей к регулярному взаимодействию в Интернете, что делает бдительность являемся важным механизмом защиты.
Выводы
С каждым новым развертыванием этой кампании выявление конечного вредоносного ПО и нарушение работы инфраструктуры его доставки остаются главными приоритетами для аналитиков в области кибербезопасности. Бдительность пользователей и усилия специалистов в области кибербезопасности являются критически важными для противодействия угрозам такого рода.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака KongTuke: новая угроза через взломанные веб-сайты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.