изображение: recraft
По данным аналитиков из подразделения Unit 42 компании Palo Alto Networks, к продолжающимся кибератакам на уязвимости Microsoft SharePoint присоединились группировки, распространяющие вирусы-вымогатели. Эта волна атак стала частью масштабной кампании ToolShell, в рамках которой уже были скомпрометированы как минимум 148 организаций по всему миру, включая правительственные учреждения, исследовательские институты и государственные структуры в США, Европе и на Ближнем Востоке.
Специалисты выявили новый вариант вируса-вымогателя под названием 4L4MD4R, основанный на открытом исходном коде Mauri870. Вредонос был обнаружен 27 июля после анализа неудачной попытки эксплуатации уязвимости, при которой применялись вредоносные команды PowerShell для отключения систем безопасности на целевых устройствах. На одном из этапов атаки загрузчик, размещённый на домене theinnovationfactory[.]it, загружал и запускал шифровальщик напрямую на заражённые серверы.
Как сообщили специалисты Unit 42, вредоносное ПО написано на GoLang и упаковано с использованием UPX. При активации троян расшифровывает AES-зашифрованную полезную нагрузку в оперативной памяти, размещает её в виде исполняемого PE-файла и запускает в отдельном потоке. После этого шифруются данные на устройстве, а пользователю отображается требование выкупа — 0,005 биткоинов. Система также создаёт записки с инструкциями и список зашифрованных файлов.
В ходе расследования Microsoft подтвердила, что атаки связаны с деятельностью хакерских группировок, поддерживаемых государственными структурами Китая. Уязвимости SharePoint активно используют три формирования: Linen Typhoon, Violet Typhoon и Storm-2603. Эти группы атакуют сервера, доступные из интернета, и используют полученный доступ для дальнейшего распространения вредоносных компонентов и установления контроля над инфраструктурой.
По данным Microsoft, атаки затронули критически важные объекты, среди которых — Национальное управление по ядерной безопасности США, Министерство образования, Налоговое управление Флориды, Генеральная ассамблея Род-Айленда, а также правительственные сети в европейских странах и государствах Ближнего Востока.
Исследование показало, что активность группировок не ограничивается одним инструментом: они используют цепочку эксплойтов в уязвимых конфигурациях SharePoint, комбинируя методы удалённого выполнения кода, загрузку шифровальщиков и обход защитных механизмов. По мнению экспертов, ToolShell представляет собой скоординированную кампанию с элементами разведки, саботажа и вымогательства.
Оригинал публикации на сайте CISOCLUB: "Хакеры-вымогатели активно присоединяются к атакам на Microsoft SharePoint, пострадали более 140 организаций по всему миру".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
