Недавнее сообщение подразделения 42 о кибератаке под кодовым названием «Лампион» привлекло внимание к использованию *вредоносного ПО Lampion* для нацеливания на португальские организации. В первую очередь, атаки затрагивают государственный сектор, финансы и транспорт, что вызывает серьезные опасения у специалистов по кибербезопасности.
Тактика ClickFix: Манипуляция Жертвами
Кампания «Лампион» продемонстрировала новую тактику социальной инженерии, известную как *ClickFix*. Это направлено на манипуляцию жертвами для выполнения вредоносных команд под предлогом устранения неполадок. Методы ClickFix начали внедряться в различные семейства вредоносных программ с конца 2024 года.
Цепочка Атак
Цепочка атак начинается с фишингового электронного письма, которое содержит вредоносный ZIP-файл. После извлечения файла жертва перенаправляется на поддельный веб-сайт португальской налоговой службы, где ей предлагается:
- Скопировать и запустить вредоносную команду PowerShell, замаскированную под законное действие;
- Неосознанно запустить процесс заражения.
Ключевым элементом подхода ClickFix является убеждение жертв выполнять вредоносные скрипты, что может компрометировать их системы. Последующие этапы заражения включают сложные скрипты *Visual Basic*, которые усложняют обнаружение атаки.
Методы Скрытия Вредоносного Кода
Характерный стиль атак «Лампион» включает:
- Использование методов обфускации для сокрытия вредоносного кода;
- Разделение инфекции на фазы, каждая из которых может восприниматься как безобидная;
- Применение косвенных методов выполнения и запланированных задач для задержки выполнения, оставаясь необнаруженными.
Рекомендации по Безопасности
Специалистам по безопасности рекомендуется повысить осведомленность и внедрить упреждающие меры безопасности, такие как:
- Мониторинг действий PowerShell;
- Отслеживание данных буфера обмена.
Использование комментариев в скриптах может указывать на потенциальные просчеты злоумышленников, создавая возможность для обнаружения незавершенных элементов операций. Это может быть либо ошибкой, либо тестированием новых атак.
Заключение
Кампания «Лампион» подчеркивает изменения в методах атак, базируясь на использовании социальных инженерных тактик и традиционных стратегиях вредоносного ПО. Расширенные возможности обнаружения крайне важны для выявления этих сложных угроз и снижения рисков для организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибератака Lampion: новая угроза для португальских организаций".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.