Эксперты
Глобального центра исследования и анализа угроз «Лаборатории Касперского»
(Kaspersky GReAT) обнаружили новую сложную вредоносную кампанию — StrikeShark. Злоумышленники проникли в ряд организаций по
всему миру, в том числе на Тайване, в Индонезии, Гонконге, Ливане, Сирии,
Колумбии, Северной Македонии, Непале и Сербии. Для этого атакующие
использовали ранее неизвестный загрузчик вредоносного ПО — SharkLoader. На
данный момент «Лаборатория Касперского» не связывает эту кампанию
с какой-либо известной группой и продолжает отслеживать её активность.
Как
происходит заражение. Для
первичного заражения использовались различные тактики. В частности,
злоумышленники эксплуатировали уязвимости в приложениях, подключённых
к интернету, таких как Microsoft Exchange, Microsoft SharePoint и
Openfire. В других случаях применялись вредоносные дропперы, замаскированные
под легальное программное обеспечение, например под установщики Google
Update или Cisco AnyConnect либо даже под фишинговые
PDF-документы, чтобы обманом заставить пользователей скачать вредоносное ПО.
Многоэтапный
процесс заражения. Техническая
сложность SharkLoader свидетельствует о высоком уровне квалификации
злоумышленников. Заражение начинается с эксплуатации уязвимости или установки
дроппера — в том числе под видом легитимного приложения. Затем применяется боковая загрузка DLL-файлов
с помощью различных легитимных приложений Windows для загрузки
зашифрованных вредоносных модулей. Эти модули расшифровывают и рефлексивно
загружают дополнительные компоненты, предназначенные для установки API-хуков с
целью обхода механизмов обнаружения и, в конечном счёте, для внедрения и
запуска Cobalt Strike Beacon — легитимного инструмента для тестирования на
проникновение. Злоумышленники часто используют его для управления и контроля,
разведки, перемещения по сети и вывода данных из скомпрометированных систем.
«Кампания
StrikeShark отражает изменения в ландшафте киберугроз. Злоумышленники сочетают
легкодоступные инструменты атак с индивидуально разработанным вредоносным ПО и
передовыми методами обхода защиты. Использование приманок, выглядящих как
легитимные ресурсы, и эксплуатация известных уязвимостей подчёркивают острую
необходимость для организаций обеспечивать тщательное управление исправлениями,
эффективное обнаружение и реагирование на угрозы на конечных устройствах, а
также проводить всестороннее обучение сотрудников по вопросам информационной
безопасности», — комментирует Сергей Ложкин, руководитель Kaspersky GReAT в
Азии, Африке и на Ближнем Востоке.
Для
обеспечения защиты «Лаборатория Касперского» рекомендует:
- регулярно обновлять все приложения, чтобы устранять известные
уязвимости;
- использовать проверенные защитные решения для обнаружения
и блокировки дропперов вредоносного ПО;
- обучать сотрудников навыкам цифровой грамотности, чтобы
минимизировать риски атак с использованием методов социальной инженерии, в том
числе фишинга; в этом помогут специализированные курсы или тренинги,
например Kaspersky
Automated Security Awareness Platform;
- применять комплексное решение для защиты, например Kaspersky Symphony XDR. Это
платформа многоуровневой кибербезопасности, которая объединяет возможности
централизованного мониторинга и анализа информации, продвинутого обнаружения
угроз и реагирования на них, а также инструменты исследования событий
безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли.
Комментарии:
Нет комментариев. Почему бы Вам не оставить свой?
Для того чтобы оставить комментарий зарегистрируйтесь и войдите на сайт под своим именем.
Если Вы уже регистрировались то просто войдите на сайт под своим именем.