Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) обнаружили новую сложную вредоносную кампанию — StrikeShark. Злоумышленники проникли в ряд организаций по всему миру, в том числе на Тайване, в Индонезии, Гонконге, Ливане, Сирии, Колумбии, Северной Македонии, Непале и Сербии. Для этого атакующие использовали ранее неизвестный загрузчик вредоносного ПО — SharkLoader. На данный момент «Лаборатория Касперского» не связывает эту кампанию с какой-либо известной группой и продолжает отслеживать её активность.
Как происходит заражение. Для первичного заражения использовались различные тактики. В частности, злоумышленники эксплуатировали уязвимости в приложениях, подключённых к интернету, таких как Microsoft Exchange, Microsoft SharePoint и Openfire. В других случаях применялись вредоносные дропперы, замаскированные под легальное программное обеспечение, например под установщики Google Update или Cisco AnyConnect либо даже под фишинговые PDF-документы, чтобы обманом заставить пользователей скачать вредоносное ПО.
Многоэтапный процесс заражения. Техническая сложность SharkLoader свидетельствует о высоком уровне квалификации злоумышленников. Заражение начинается с эксплуатации уязвимости или установки дроппера — в том числе под видом легитимного приложения. Затем применяется боковая загрузка DLL-файлов с помощью различных легитимных приложений Windows для загрузки зашифрованных вредоносных модулей. Эти модули расшифровывают и рефлексивно загружают дополнительные компоненты, предназначенные для установки API-хуков с целью обхода механизмов обнаружения и, в конечном счёте, для внедрения и запуска Cobalt Strike Beacon — легитимного инструмента для тестирования на проникновение. Злоумышленники часто используют его для управления и контроля, разведки, перемещения по сети и вывода данных из скомпрометированных систем.
«Кампания StrikeShark отражает изменения в ландшафте киберугроз. Злоумышленники сочетают легкодоступные инструменты атак с индивидуально разработанным вредоносным ПО и передовыми методами обхода защиты. Использование приманок, выглядящих как легитимные ресурсы, и эксплуатация известных уязвимостей подчёркивают острую необходимость для организаций обеспечивать тщательное управление исправлениями, эффективное обнаружение и реагирование на угрозы на конечных устройствах, а также проводить всестороннее обучение сотрудников по вопросам информационной безопасности», — комментирует Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.
Для обеспечения защиты «Лаборатория Касперского» рекомендует:
- регулярно обновлять все приложения, чтобы устранять известные уязвимости;
- использовать проверенные защитные решения для обнаружения и блокировки дропперов вредоносного ПО;
- обучать сотрудников навыкам цифровой грамотности, чтобы минимизировать риски атак с использованием методов социальной инженерии, в том числе фишинга; в этом помогут специализированные курсы или тренинги, например Kaspersky Automated Security Awareness Platform;
- применять комплексное решение для защиты, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли.
Оригинал публикации на сайте CISOCLUB: "Идёт сложная вредоносная кампания, нацеленная на организации в Азии, Латинской Америке и Европе".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.