В новом обзоре зафиксировано, что группа APT-C-24, более известная как Sidewinder, применяет целенаправленные phishing-кампании с использованием файлов LNK. Тактика основана на заманивании жертв к загрузке архивов с несколькими ярлыками (LNK), размещёнными на удалённом сервере, — после открытия одного из таких файлов система оказывается скомпрометирована.
Механизм атаки
Ключевые этапы типичной цепочки атаки выглядят следующим образом:
- Инициирование через электронные письма или сообщения с элементами phishing, побуждающими жертву загрузить архив.
- Архив содержит несколько файлов LNK, хранящихся на удалённом ресурсе и предлагаемых для открытия.
- После выполнения загруженного файла LNK происходит исполнение вредоносных команд, что приводит к компрометации системы.
- Дальнейшие последствия обычно включают установку malware или эксплуатацию уязвимостей ОС для расширения контроля над средой.
Почему опасны файлы LNK
Файлы LNK — это обычные ярлыки, но они могут служить средством для невидимого запуска команд и payload’ов. В руках злоумышленников такие «казалось бы безобидные» объекты становятся эффективным вектором первой стадии атаки, поскольку:
- они легко распространяются в архивах и сообщениях;
- могут ссылаться на удалённые ресурсы и запускать цепочки команд;
- часто проходят мимо базовых фильтров, особенно при таргетированном phishing.
«Sidewinder использует казалось бы безобидные типы файлов для инициирования своих кибератак», — подчёркивает обзор.
Ограничения анализа
Отчёт подчёркивает саму методику применения LNK-файлов, однако не содержит детальных сведений о конкретных штаммах или расширенных возможностях используемого malware. Это затрудняет оценку полного технического профиля атак и их потенциального воздействия на крупные инфраструктуры.
Рекомендации по защите
Для снижения рисков, связанных с подобными кампаниями, организациям и частным пользователям рекомендуется:
- повышать осведомлённость сотрудников о методах phishing и правилах работы с вложениями;
- воздерживаться от открытия неизвестных архивов и LNK-файлов, особенно из внешних источников;
- проверять вложения с помощью антивирусного ПО и EDR-решений перед запуском;
- ограничивать возможность выполнения неподписанных скриптов и ярлыков на рабочих станциях;
- обновлять системы и приложения, чтобы минимизировать риск эксплуатации уязвимостей;
- внедрять сетевые политики и сегментацию, чтобы затруднить дальнейшее распространение при компрометации.
Вывод
APT-C-24 (Sidewinder) демонстрирует, что злоумышленники продолжают совершенствовать техники социальной инженерии, адаптируя простые форматы файлов под сложные целенаправленные атаки. Признание и понимание рисков, связанных с файлами LNK и аналогичными векторами, остаётся ключевым элементом защиты как для организаций, так и для частных пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "APT-C-24 Sidewinder применяет фишинг-атаки с файлами LNK".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.