Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

CapFIX: рассылка с бэкдором CapDoor угрожает финансовым организациям

6
3 мин
Центр кибербезопасности и анализа угроз F6 выявил новую вредоносную рассылочную кампанию, приписываемую группе CapFIX. Атака использует обманные электронные письма, замаскированные под сообщения об угрозах, связанных с майнингом, и нацелена на организации, работающие с конфиденциальными финансовыми и персональными данными. В основе операции — внедрение бэкдора CapDoor для длительного доступа в скомпрометированные сети. «Центр кибербезопасности и анализа угроз F6 выявил новую вредоносную рассылочную кампанию, приписываемую кибергруппе, известной как CapFIX.» По данным F6, злоумышленники рассылают сообщения, в которых якобы просят получателей описать способы противодействия информационным атакам, связанным с майнингом. Такая социальная инженерия маскирует вредоносную активность под легитимную переписку и повышает вероятность того, что получатель откроет вложение или перейдёт по ссылке. Ключевой элемент кампании — вредоносный бэкдор CapDoor, предназначенный для установления удалённого и у
Оглавление

Центр кибербезопасности и анализа угроз F6 выявил новую вредоносную рассылочную кампанию, приписываемую группе CapFIX. Атака использует обманные электронные письма, замаскированные под сообщения об угрозах, связанных с майнингом, и нацелена на организации, работающие с конфиденциальными финансовыми и персональными данными. В основе операции — внедрение бэкдора CapDoor для длительного доступа в скомпрометированные сети.

Суть обнаружения

«Центр кибербезопасности и анализа угроз F6 выявил новую вредоносную рассылочную кампанию, приписываемую кибергруппе, известной как CapFIX.»

По данным F6, злоумышленники рассылают сообщения, в которых якобы просят получателей описать способы противодействия информационным атакам, связанным с майнингом. Такая социальная инженерия маскирует вредоносную активность под легитимную переписку и повышает вероятность того, что получатель откроет вложение или перейдёт по ссылке.

Мишени и тактика

  • Целевые сектора: розничная торговля, коллекторские агентства, микрофинансовые организации, страховые компании.
  • Социальная инженерия: письма выглядят как уведомления/опросы о майнинговых угрозах, что повышает доверие получателя.
  • Цель: получение начального доступа и развёртывание бэкдора для дальнейшего проникновения и удержания позиции в сети.

Техническая сторона: CapDoor и IOCs

Ключевой элемент кампании — вредоносный бэкдор CapDoor, предназначенный для установления удалённого и устойчивого доступа к системам жертв. F6 подготовил сводку методов и соответствующие индикаторы компрометации (IOCs), которые организации могут использовать для обнаружения и реагирования на угрозу.

Если вы управляете защитой сети, обратите внимание на следующие технические практики в расследовании подобных инцидентов:

  • анализ подозрительных вложений и ссылок в почте;
  • проверка необычной сетевой активности и подключений к неизвестным хостам;
  • сканирование эндпоинтов и серверов на наличие известных сигнатур и поведенческих индикаторов;
  • корреляция событий в логах почтовых шлюзов, прокси и EDR для выявления цепочки компрометации.

Риски и возможные последствия

Успешное проникновение через такие рассылки может привести к:

  • утечке конфиденциальных финансовых и персональных данных;
  • установлению длительного доступа злоумышленников и движению по сети (lateral movement);
  • нарушению бизнес-процессов и репутационным потерям;
  • дополнительным вторичным атакам, например шифрованию данных или вымогательству.

Рекомендации по защитным мерам

  • усиление почтовой безопасности: SPF, DKIM, DMARC, фильтры контента и сканирование вложений;
  • обучение сотрудников распознаванию фишинга и сомнительных запросов, регулярные фишинг-симуляции;
  • внедрение и поддержание EDR/NGAV для детекции и реагирования на поведенческие аномалии;
  • включение многофакторной аутентификации (MFA) для доступа к критическим системам;
  • минимизация прав пользователей по принципу least privilege и сегментация сети;
  • регулярное обновление и патчинг ПО, контроль удалённых подключений;
  • наладка процессов инцидент-менеджмента и резервного копирования с проверкой восстановления.

Действия при подозрении на компрометацию

  • изолируйте подозрительные хосты от сети и сохраните логи;
  • проведите сканирование на наличие IOCs, предоставленных F6;
  • проинформируйте команду информационной безопасности и при необходимости привлечь внешних специалистов/CERT;
  • восстановите затронутые системы из проверенных бэкапов и пересмотрите права доступа.

Выявление и документирование таких кампаний аналитиками, как F6, критично для своевременного построения защиты. Компании из целевых секторов должны повысить бдительность и пересмотреть процедуры по обработке входящей почты и управлению доступом — это снижает вероятность успешного использования социальной инженерии и ограничивает ущерб от внедрения таких бэкдоров, как CapDoor.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "CapFIX: рассылка с бэкдором CapDoor угрожает финансовым организациям".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.