Сторонняя компания, отвечающая за телефонную связь в службе многофакторной аутентификации Cisco Duo, подверглась кибератаке с использованием методов социальной инженерии. В связи с этим Cisco попросила своих клиентов быть крайне осторожными и внимательными в отношении возможных фишинговых махинаций.
Пользователи получили уведомление, в котором сообщалось, что организация, обеспечивающая передачу СМС для Cisco Duo, подверглась взлому 1 апреля. Как стало известно, злоумышленники использовали украденные учетные данные сотрудников компании-поставщика. Получив доступ к ее системам, они загрузили журналы СМС-сообщений, отправленных определенным пользователям Duo в период с 1 по 31 марта 2024 года.
Cisco Duo не разглашает название взломанного партнера. Однако представители пояснили, что загруженные журналы содержали информацию о номерах телефонов, операторах связи, странах и регионах, куда были отправлены сообщения, а также другие метаданные, в том числе даты, время и типы сообщений. Сами тексты похищены не были.
Этот инцидент вписывается в две тревожные тенденции: успешность кибератак, основанных на социальной инженерии, и растущее внимание к поставщикам услуг идентификации. Как отметил главный директор по продуктам и стратегии в Saviynt, в последние годы было зафиксировано несколько громких взломов таких сервисов, как Okta и Microsoft.
По его словам, провайдеры остро нуждаются в более эффективных мерах защиты своих систем. Но также важно, чтобы они тщательно оценивали, какие последствия для их собственной кибербезопасности могут иметь возможные атаки на партнеров.
Пользователи получили уведомление, в котором сообщалось, что организация, обеспечивающая передачу СМС для Cisco Duo, подверглась взлому 1 апреля. Как стало известно, злоумышленники использовали украденные учетные данные сотрудников компании-поставщика. Получив доступ к ее системам, они загрузили журналы СМС-сообщений, отправленных определенным пользователям Duo в период с 1 по 31 марта 2024 года.
Cisco Duo не разглашает название взломанного партнера. Однако представители пояснили, что загруженные журналы содержали информацию о номерах телефонов, операторах связи, странах и регионах, куда были отправлены сообщения, а также другие метаданные, в том числе даты, время и типы сообщений. Сами тексты похищены не были.
Этот инцидент вписывается в две тревожные тенденции: успешность кибератак, основанных на социальной инженерии, и растущее внимание к поставщикам услуг идентификации. Как отметил главный директор по продуктам и стратегии в Saviynt, в последние годы было зафиксировано несколько громких взломов таких сервисов, как Okta и Microsoft.
По его словам, провайдеры остро нуждаются в более эффективных мерах защиты своих систем. Но также важно, чтобы они тщательно оценивали, какие последствия для их собственной кибербезопасности могут иметь возможные атаки на партнеров.
На просторах интернета недавно был обнаружен эксплойт для критической уязвимости в программном обеспечении PAN-OS, используемом в брандмауэрах Palo Alto Networks. Уязвимость CVE-2024-3400 позволяет злоумышленникам выполнять произвольный код с правами суперпользователя на сетевых экранах с включённой функцией GlobalProtect или сбором телеметрии.
Если ранее компания активно предлагала пользователям банально отключить вышеуказанные функции, чтобы избежать атаки, сейчас специалисты с удивлением для себя обнаружили, что эти меры оказались неэффективными. Теперь основным рекомендуемым действием является установка последних обновлений программного обеспечения PAN-OS.
Сам по себе недостаток безопасности был обнаружен в версиях PAN-OS 10.2, 11.0 и 11.1. Согласно информации от компании Palo Alto Networks, выпуск исправлений идёт полным ходом, а на момент публикации данной новости для большинства уязвимых сборок ПО уже вышли исправления.
Тем не менее в настоящий момент более 82 000 устройств Palo Alto Networks всё ещё находятся под угрозой из-за этой уязвимости, большая часть из них расположена в США.
Специалисты из лаборатории watchTowr Labs проанализировали уязвимость и представили доказательство концепции, демонстрирующее, как с помощью инъекции команд можно манипулировать устройствами, не защищёнными последними обновлениями.
Кроме того, стало известно, что уязвимость уже активно использовалась в марте текущего года для установки закладок в брандмауэрах с помощью вредоносного ПО Upstyle, что позволяло атакующим получить доступ к внутренним сетям и краже данных. Предполагается, что за атаками стоит спонсируемая государством группа UTA0218, однако с какой-либо конкретной страной эксперты её пока не связывают.
CISA недавно включило CVE-2024-3400 в свой каталог известных эксплуатируемых уязвимостей и потребовало от федеральных агентств обеспечить защиту своих устройств в срок до 19 апреля.
Если ранее компания активно предлагала пользователям банально отключить вышеуказанные функции, чтобы избежать атаки, сейчас специалисты с удивлением для себя обнаружили, что эти меры оказались неэффективными. Теперь основным рекомендуемым действием является установка последних обновлений программного обеспечения PAN-OS.
Сам по себе недостаток безопасности был обнаружен в версиях PAN-OS 10.2, 11.0 и 11.1. Согласно информации от компании Palo Alto Networks, выпуск исправлений идёт полным ходом, а на момент публикации данной новости для большинства уязвимых сборок ПО уже вышли исправления.
Тем не менее в настоящий момент более 82 000 устройств Palo Alto Networks всё ещё находятся под угрозой из-за этой уязвимости, большая часть из них расположена в США.
Специалисты из лаборатории watchTowr Labs проанализировали уязвимость и представили доказательство концепции, демонстрирующее, как с помощью инъекции команд можно манипулировать устройствами, не защищёнными последними обновлениями.
Кроме того, стало известно, что уязвимость уже активно использовалась в марте текущего года для установки закладок в брандмауэрах с помощью вредоносного ПО Upstyle, что позволяло атакующим получить доступ к внутренним сетям и краже данных. Предполагается, что за атаками стоит спонсируемая государством группа UTA0218, однако с какой-либо конкретной страной эксперты её пока не связывают.
CISA недавно включило CVE-2024-3400 в свой каталог известных эксплуатируемых уязвимостей и потребовало от федеральных агентств обеспечить защиту своих устройств в срок до 19 апреля.
YouTube продолжает бороться с блокировщиками рекламы. На днях компания заявила, что сторонний софт, использующий API и блокирующий рекламу во время просмотра видео, нарушает условия обслуживания, поэтому видеохостинг будет бороться с такими приложениями.
Как известно, Google предлагает API, позволяющий разработчикам интегрировать YouTube в собственные приложения. В итоге ряд девелоперов создал программы для Android и iOS, пользовательская база которых разрослась до миллионов.
Есть у таких программ свои «фишки», одна из которых — блокировка рекламы. Теперь Google, осознав весь масштаб, грозит заблокировать API для «непорядочных» разработчиков.
Кроме того, в YouTube отметили, что пользователи проблемного софта могут столкнуться с более пролонгированной буферизацией и даже получать ошибку «Этот контент недоступен в данном приложении».
Всё объясняется защитой интересов создателей контента. Как всегда цели благие — обеспечить стабильный доход авторов видеороликов.
Как известно, Google предлагает API, позволяющий разработчикам интегрировать YouTube в собственные приложения. В итоге ряд девелоперов создал программы для Android и iOS, пользовательская база которых разрослась до миллионов.
Есть у таких программ свои «фишки», одна из которых — блокировка рекламы. Теперь Google, осознав весь масштаб, грозит заблокировать API для «непорядочных» разработчиков.
Кроме того, в YouTube отметили, что пользователи проблемного софта могут столкнуться с более пролонгированной буферизацией и даже получать ошибку «Этот контент недоступен в данном приложении».
Всё объясняется защитой интересов создателей контента. Как всегда цели благие — обеспечить стабильный доход авторов видеороликов.
Министерство общественной безопасности Китая объявило о масштабной кампании против распространения онлайн-слухов, начавшейся в декабре прошлого года. С тех пор полиция по всей стране провела более 1500 арестов и раскрыла около 10 000 дел. Также были наложены административные взыскания на приблизительно 10 700 человек и опровергнуто более 4200 фейковых инфоповодов на самые разные, но актуальные темы.
В частности, под прицел попали влиятельные личности и блогеры, которые «злонамеренно инсценируют фотографии или фабрикуют слухи», касающиеся пандемии коронавируса и различных чрезвычайных ситуаций.
В последнем раунде операции были взяты под особый контроль социальные сети и платформы для прямых трансляций и коротких видео. Полиция закрыла 63 000 нелегальных аккаунтов и удалила более 735 000 постов, содержащих недостоверную информацию и различные вирусные истории.
Министерство привело десять примеров дел, связанных с распространением дезинформации. Одним из наиболее ярких случаев стала история влиятельной девушки-блогера Турман Маоибэй. В феврале она опубликовала видео, в котором утверждала, что официант в Париже дал ей несколько учебников, якобы забытых китайским мальчиком по имени Цинь Ланг. Девушка сказала, что возьмёт на себя миссию вернуть их мальчику обратно в Китай.
Видео стало вирусным и привлекло миллионы кликов и комментариев на Weibo, Douyin и TikTok. Неделю спустя Маоибэй сообщила подписчикам, что нашла семью мальчика и вернула ему учебники. Однако мнительные пользователи заподозрили блогера в обмане и на всякий случай обратилась в полицию. По результатам расследования выяснилось, что вся история от А до Я была выдумана девушкой, а книги, фигурирующие в роликах, были куплены ей же в местном магазине.
За обман общественности на Маоибэй были наложены административные санкции, а её история получила широкий общественный резонанс и критику за дестабилизацию порядка в Интернете. В результате она была вынуждена опубликовать видео с извинениями.
В частности, под прицел попали влиятельные личности и блогеры, которые «злонамеренно инсценируют фотографии или фабрикуют слухи», касающиеся пандемии коронавируса и различных чрезвычайных ситуаций.
В последнем раунде операции были взяты под особый контроль социальные сети и платформы для прямых трансляций и коротких видео. Полиция закрыла 63 000 нелегальных аккаунтов и удалила более 735 000 постов, содержащих недостоверную информацию и различные вирусные истории.
Министерство привело десять примеров дел, связанных с распространением дезинформации. Одним из наиболее ярких случаев стала история влиятельной девушки-блогера Турман Маоибэй. В феврале она опубликовала видео, в котором утверждала, что официант в Париже дал ей несколько учебников, якобы забытых китайским мальчиком по имени Цинь Ланг. Девушка сказала, что возьмёт на себя миссию вернуть их мальчику обратно в Китай.
Видео стало вирусным и привлекло миллионы кликов и комментариев на Weibo, Douyin и TikTok. Неделю спустя Маоибэй сообщила подписчикам, что нашла семью мальчика и вернула ему учебники. Однако мнительные пользователи заподозрили блогера в обмане и на всякий случай обратилась в полицию. По результатам расследования выяснилось, что вся история от А до Я была выдумана девушкой, а книги, фигурирующие в роликах, были куплены ей же в местном магазине.
За обман общественности на Маоибэй были наложены административные санкции, а её история получила широкий общественный резонанс и критику за дестабилизацию порядка в Интернете. В результате она была вынуждена опубликовать видео с извинениями.
Эксперты по безопасности Cisco Talos предупредили об атаке на сети с целью получения доступа к учетным записям VPN, SSH и веб-приложений.
Атаки носят беспорядочный характер и не направлены на какой-то конкретный регион или отрасль. Для получения доступа злоумышленники используют различные комбинации действительных имен сотрудников определенных организаций и паролей.
Исследователи Talos рассказали, что данные атаки могут позволить хакерам получить доступ к сети и учетным записям пользователей.
Попытки взлома начались ещё 18 марта 2024 года и продолжают набирать обороты. Отследить злоумышленников очень трудно, так как атаки поступают с узлов выхода TOR и других анонимизирующих туннелей и прокси-серверов.
IP-адреса анонимизации принадлежат таким сервисам, как VPN Gate, TOR, Proxy Rack, Nexus Proxy, IPIDEA Proxy и другим.
Компания Talos сообщила, что атаке подверглись следующие сервисы: Cisco Secure Firewall VPN; Checkpoint VPN; Fortinet VPN; SonicWall VPN; RD Web Services; Mikrotik; Draytek; Ubiquiti.
IP-адреса анонимайзеров, как выяснили исследователи, принадлежат следующим сервисам: TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy, Proxy Rack.
Упомянутый выше перечень IP-адресов Cisco добавила в список блокировки для своих VPN-продуктов. С полным списком индикаторов компрометации можно ознакомиться здесь.
Компания также опубликовала список рекомендаций, которые помогут пользователям обезопасить себя от атак:
- блокировать попытки подключения из перечисленных вредоносных источников;
- включение подробного протоколирования, чтобы администраторы могли распознавать и соотносить атаки на различных конечных точках сети;
- защита учетных записей удаленного доступа по умолчанию путем их блокировки;
- внедрение системы контроля и управления доступом на уровне интерфейса.
Атаки носят беспорядочный характер и не направлены на какой-то конкретный регион или отрасль. Для получения доступа злоумышленники используют различные комбинации действительных имен сотрудников определенных организаций и паролей.
Исследователи Talos рассказали, что данные атаки могут позволить хакерам получить доступ к сети и учетным записям пользователей.
Попытки взлома начались ещё 18 марта 2024 года и продолжают набирать обороты. Отследить злоумышленников очень трудно, так как атаки поступают с узлов выхода TOR и других анонимизирующих туннелей и прокси-серверов.
IP-адреса анонимизации принадлежат таким сервисам, как VPN Gate, TOR, Proxy Rack, Nexus Proxy, IPIDEA Proxy и другим.
Компания Talos сообщила, что атаке подверглись следующие сервисы: Cisco Secure Firewall VPN; Checkpoint VPN; Fortinet VPN; SonicWall VPN; RD Web Services; Mikrotik; Draytek; Ubiquiti.
IP-адреса анонимайзеров, как выяснили исследователи, принадлежат следующим сервисам: TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy, Proxy Rack.
Упомянутый выше перечень IP-адресов Cisco добавила в список блокировки для своих VPN-продуктов. С полным списком индикаторов компрометации можно ознакомиться здесь.
Компания также опубликовала список рекомендаций, которые помогут пользователям обезопасить себя от атак:
- блокировать попытки подключения из перечисленных вредоносных источников;
- включение подробного протоколирования, чтобы администраторы могли распознавать и соотносить атаки на различных конечных точках сети;
- защита учетных записей удаленного доступа по умолчанию путем их блокировки;
- внедрение системы контроля и управления доступом на уровне интерфейса.
Американские провайдеры мобильной связи T-Mobile и Verizon столкнулись с массовыми нападками киберпреступников, которые направляют на личные и рабочие телефоны сотрудников компаний сообщения, предлагая деньги за выполнение незаконных операций с SIM-картами, включая широко известный в сфере кибербезопасности SIM Swapping.
Согласно рассылаемым сообщениям, преступники предлагают по $300 за каждую выполненную Swapping-операцию. В числе целей — как действующие, так и бывшие работники вышеупомянутых компаний. Сами сообщения направляются массово, с немного разными формулировками, чтобы избежать блокировки антиспам-системой.
В сообщениях хакеры утверждают, что контактные данные сотрудников, которым они пишут, были взяты из служебного каталога T-Mobile. В целом, до какого-то момента это было похоже на правду, так как по началу сообщения приходили только сотрудникам T-Mobile, однако позже выяснилось, что и сотрудники Verizon также массово получают подобные тексты. Возможно, имела место быть масштабная утечка данных.
Представители T-Mobile отметили, что компания уже инициировала расследование, но пока нет никаких оснований полагать, что её системы столкнулись со взломом. Тем временем, представители Verizon пока никак не комментировали ситуацию и не выходили на связь с журналистами.
Атаки типа SIM Swapping, при которых злоумышленники получают контроль над номером телефона жертвы, могут привести к несанкционированному доступу к личным и финансовым данным, краже личности и значительному эмоциональному стрессу жертвы.
В феврале 2022 года ФБР предупредило об увеличении числа атак с целью кражи миллионов долларов путём «угона» номеров телефонов. В прошлом году было зарегистрировано свыше 2000 жалоб на такие атаки, а суммарные убытки от них составили 72,6 миллиона долларов.
Согласно рассылаемым сообщениям, преступники предлагают по $300 за каждую выполненную Swapping-операцию. В числе целей — как действующие, так и бывшие работники вышеупомянутых компаний. Сами сообщения направляются массово, с немного разными формулировками, чтобы избежать блокировки антиспам-системой.
В сообщениях хакеры утверждают, что контактные данные сотрудников, которым они пишут, были взяты из служебного каталога T-Mobile. В целом, до какого-то момента это было похоже на правду, так как по началу сообщения приходили только сотрудникам T-Mobile, однако позже выяснилось, что и сотрудники Verizon также массово получают подобные тексты. Возможно, имела место быть масштабная утечка данных.
Представители T-Mobile отметили, что компания уже инициировала расследование, но пока нет никаких оснований полагать, что её системы столкнулись со взломом. Тем временем, представители Verizon пока никак не комментировали ситуацию и не выходили на связь с журналистами.
Атаки типа SIM Swapping, при которых злоумышленники получают контроль над номером телефона жертвы, могут привести к несанкционированному доступу к личным и финансовым данным, краже личности и значительному эмоциональному стрессу жертвы.
В феврале 2022 года ФБР предупредило об увеличении числа атак с целью кражи миллионов долларов путём «угона» номеров телефонов. В прошлом году было зарегистрировано свыше 2000 жалоб на такие атаки, а суммарные убытки от них составили 72,6 миллиона долларов.
В конце прошлого года крупный американский автопроизводитель, название которого не раскрывается, стал жертвой целенаправленной атаки, осуществлённой хакерской группировкой FIN7. По информации исследователей из компании BlackBerry, злоумышленники использовали фишинговые письма для сотрудников IT-отдела, чтобы заразить системы компании вредоносным программным обеспечением через бэкдор Anunak.
Атака началась с отправки сотрудникам компании ссылок на поддельный сайт, маскирующийся под легитимный инструмент Advanced IP Scanner. Применив методы социальной инженерии, хакеры убедили пользователей перейти по ссылке и загрузить исполняемый файл, который инициировал установку бэкдора.
В ходе анализа специалисты BlackBerry выяснили, что киберпреступники использовали уникальные скрипты PowerShell с обфусцированным шелл-кодом «PowerTrash», что позволило с высокой уверенностью связать эту атаку с группировкой FIN7. Этот же метод был впервые замечен во вредоносной кампании FIN7 в 2022 году.
В процессе атаки зловредный файл, получивший название «WsTaskLoad.exe», запускал многоступенчатый процесс с использованием вредоносных DLL, WAV-файлов и шелл-кода, что в итоге приводило к загрузке и расшифровке файла «dmxl.bin» с бэкдором Anunak. Стоит отметить, что хакеры FIN7 также часто используют в своих атаках другой бэкдор — Carbanak, но в рассмотренной кампании применили именно Anunak.
После развёртывания бэкдора в целевой системе была создана задача для OpenSSH, обеспечивающая постоянный доступ злоумышленников, однако исследователи не обнаружили использование этого метода для перемещения по сети в анализируемой кампании.
Интересно, что, несмотря на сложность атаки, FIN7 не смогли распространить заражение дальше первоначально инфицированной системы. Исследователи подчёркивают важность защиты от фишинга, который до сих пор остаётся основным методом вторжения злоумышленников.
Атака началась с отправки сотрудникам компании ссылок на поддельный сайт, маскирующийся под легитимный инструмент Advanced IP Scanner. Применив методы социальной инженерии, хакеры убедили пользователей перейти по ссылке и загрузить исполняемый файл, который инициировал установку бэкдора.
В ходе анализа специалисты BlackBerry выяснили, что киберпреступники использовали уникальные скрипты PowerShell с обфусцированным шелл-кодом «PowerTrash», что позволило с высокой уверенностью связать эту атаку с группировкой FIN7. Этот же метод был впервые замечен во вредоносной кампании FIN7 в 2022 году.
В процессе атаки зловредный файл, получивший название «WsTaskLoad.exe», запускал многоступенчатый процесс с использованием вредоносных DLL, WAV-файлов и шелл-кода, что в итоге приводило к загрузке и расшифровке файла «dmxl.bin» с бэкдором Anunak. Стоит отметить, что хакеры FIN7 также часто используют в своих атаках другой бэкдор — Carbanak, но в рассмотренной кампании применили именно Anunak.
После развёртывания бэкдора в целевой системе была создана задача для OpenSSH, обеспечивающая постоянный доступ злоумышленников, однако исследователи не обнаружили использование этого метода для перемещения по сети в анализируемой кампании.
Интересно, что, несмотря на сложность атаки, FIN7 не смогли распространить заражение дальше первоначально инфицированной системы. Исследователи подчёркивают важность защиты от фишинга, который до сих пор остаётся основным методом вторжения злоумышленников.
Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости.
Please open Telegram to view this post
VIEW IN TELEGRAM
Кибермошенники научились обманывать пользователей сервисов для знакомств с помощью технологии подмены лиц. Схема не самая простая, но действенная.
Всё начинается с обычного знакомства в соответствующем приложении или сервисе. Мошенник ведет общение с девушкой текстом и голосовыми сообщениями, а когда доверительные отношения уже установлены, внезапно звонит жертве по видеосвязи и просит денег. Для этого разводилы используют приложение, подменяющее лица в реальном времени. Они включают видеозвонок на одном смартфоне, и направляют камеру на экран второго девайса, в этот момент снимающего и подменяющего их лицо. При наличии ноутбука задача упрощается и мошенник просто устанавливает соответствующий софт.
Разводилы создают себе наиболее привлекательную внешность, заранее выбирая цвет глаз и волос, тон кожи и даже тембр голоса. Поскольку клиентки сервисов для знакомств чаще склонны руководствоваться чувствами и особенно уязвимы для обмана, мошенник рассказывает по видеосвязи слезливую историю о том, как его ограбили в отеле или на вокзале и как сильно ему нужны деньги, чтобы добраться домой — и вкупе с привлекательной подмененной внешностью она почти всегда срабатывает. Журналисты обнаружили, что разводилы открыто хвастаются видеозаписями своих похождений в Telegram-чатах и даже продают «работающие» лица менее опытным или умелым мошенникам.
Всё начинается с обычного знакомства в соответствующем приложении или сервисе. Мошенник ведет общение с девушкой текстом и голосовыми сообщениями, а когда доверительные отношения уже установлены, внезапно звонит жертве по видеосвязи и просит денег. Для этого разводилы используют приложение, подменяющее лица в реальном времени. Они включают видеозвонок на одном смартфоне, и направляют камеру на экран второго девайса, в этот момент снимающего и подменяющего их лицо. При наличии ноутбука задача упрощается и мошенник просто устанавливает соответствующий софт.
Разводилы создают себе наиболее привлекательную внешность, заранее выбирая цвет глаз и волос, тон кожи и даже тембр голоса. Поскольку клиентки сервисов для знакомств чаще склонны руководствоваться чувствами и особенно уязвимы для обмана, мошенник рассказывает по видеосвязи слезливую историю о том, как его ограбили в отеле или на вокзале и как сильно ему нужны деньги, чтобы добраться домой — и вкупе с привлекательной подмененной внешностью она почти всегда срабатывает. Журналисты обнаружили, что разводилы открыто хвастаются видеозаписями своих похождений в Telegram-чатах и даже продают «работающие» лица менее опытным или умелым мошенникам.
Некоторые правительственные сети Украины остаются заражёнными вредоносной программой под названием OfflRouter с далёкого 2015 года. Исследователи из Cisco Talos проанализировали более 100 заражённых документов, что и позволило им выявить продолжающуюся активность вируса на территории Украины.
Отличительной чертой OfflRouter является его невозможность распространяться посредством электронной почты, вместо этого вирус передаётся исключительно локально, путём обмена документами на съёмных носителях, такие как USB-флешки. Такой механизм распространения ограничивает его действие одной только Украиной, хоть и значительно сокращает число поражённых организаций.
В настоящее время неизвестно, кто несёт ответственность за данное вредоносное ПО. Исследователи не обнаружили никаких указаний на то, было ли оно разработано на территории Украины или кем-то извне. Но кто бы это ни был, его описывают как весьма изобретательного, хоть и неопытного из-за наличия нескольких ошибок в исходном коде и несовершенного покрытия атаки.
Вредоносное ПО OfflRouter уже несколько раз было замечено различными организациями безопасности. В 2018 году о нём впервые сообщила команда MalwareHunterTeam, а в 2021 эксперты CSIRT направили информацию о заражённых файлах прямо на веб-сайт украинских киберспециалистов.
Тем не менее, спустя три года, вредонос всё ещё успешно функционирует в правительственных сетях страны, а его вредоносный код и принцип действия с тех пор никак не менялись: VBA-макросы, вложенные в документы Microsoft Word, при запуске заражённого документа сбрасывают исполняемый .NET-файл с именем «ctrlpanel.exe», который затем заражает все файлы с расширением «.doc», найденные на компьютере и подключенных съёмных носителях, не трогая при этом документы «.docx» и любые другие файлы прочих форматов.
Весьма странно, что акцент сделан только на «.doc», ведь это существенно сокращает число потенциально полезных документов, которые могли бы выгрузить злоумышленники.
Отличительной чертой OfflRouter является его невозможность распространяться посредством электронной почты, вместо этого вирус передаётся исключительно локально, путём обмена документами на съёмных носителях, такие как USB-флешки. Такой механизм распространения ограничивает его действие одной только Украиной, хоть и значительно сокращает число поражённых организаций.
В настоящее время неизвестно, кто несёт ответственность за данное вредоносное ПО. Исследователи не обнаружили никаких указаний на то, было ли оно разработано на территории Украины или кем-то извне. Но кто бы это ни был, его описывают как весьма изобретательного, хоть и неопытного из-за наличия нескольких ошибок в исходном коде и несовершенного покрытия атаки.
Вредоносное ПО OfflRouter уже несколько раз было замечено различными организациями безопасности. В 2018 году о нём впервые сообщила команда MalwareHunterTeam, а в 2021 эксперты CSIRT направили информацию о заражённых файлах прямо на веб-сайт украинских киберспециалистов.
Тем не менее, спустя три года, вредонос всё ещё успешно функционирует в правительственных сетях страны, а его вредоносный код и принцип действия с тех пор никак не менялись: VBA-макросы, вложенные в документы Microsoft Word, при запуске заражённого документа сбрасывают исполняемый .NET-файл с именем «ctrlpanel.exe», который затем заражает все файлы с расширением «.doc», найденные на компьютере и подключенных съёмных носителях, не трогая при этом документы «.docx» и любые другие файлы прочих форматов.
Весьма странно, что акцент сделан только на «.doc», ведь это существенно сокращает число потенциально полезных документов, которые могли бы выгрузить злоумышленники.
Лаборатория Касперского обнаружила ранее неизвестную кампанию кибершпионажа, направленную против правительственной организации на Ближнем Востоке. Злоумышленник тайно шпионит за целью и собирал конфиденциальные данные, используя тщательно продуманный набор инструментов, разработанных для скрытности и устойчивости.
Первоначальный загрузчик вредоносного ПО маскируется под установочный файл Total Commander. Дроппер содержит строки из испанских стихов, причем строки меняются от одного образца к другому. Такой механизм направлен на изменение сигнатуры каждого образца, что усложняет обнаружение традиционными методами.
Также отмечается, что загрузчик реализует дополнительные проверки антианализа, которые предотвращают соединение с C2-сервером, если в системе установлен отладчик или инструмент мониторинга, положение курсора не меняется через определенное время, количество доступной оперативной памяти менее 8 ГБ, а емкость диска менее 40 ГБ.
В дроппер встроен вредоносный код, предназначенный для загрузки бэкдора CR4T. Имплантат CR4T, разработанный на C/C++ и GoLang, предоставляет хакеру доступ к консоли на зараженном компьютере, выполняет файловые операции, а также загружает и выгружает файлы после установки контакта с C2-сервером.
Кроме того, Golang-вариант CR4T способен обеспечить постоянство за счет использования техники перехвата COM-объектов и использования Telegram API для связи с C2-сервером.
Телеметрия Лаборатории Касперского выявила жертву на Ближнем Востоке еще в феврале 2024 года. Кроме того, в конце 2023 года произошло несколько загрузок одного и того же вредоносного ПО в полупубличный сервис сканирования вредоносных программ, всего было отправлено более 30 заявок. Другие источники, предположительно представляющие собой выходные узлы VPN, расположены в Южной Корее, Люксембурге, Японии, Канаде, Нидерландах и США.
Первоначальный загрузчик вредоносного ПО маскируется под установочный файл Total Commander. Дроппер содержит строки из испанских стихов, причем строки меняются от одного образца к другому. Такой механизм направлен на изменение сигнатуры каждого образца, что усложняет обнаружение традиционными методами.
Также отмечается, что загрузчик реализует дополнительные проверки антианализа, которые предотвращают соединение с C2-сервером, если в системе установлен отладчик или инструмент мониторинга, положение курсора не меняется через определенное время, количество доступной оперативной памяти менее 8 ГБ, а емкость диска менее 40 ГБ.
В дроппер встроен вредоносный код, предназначенный для загрузки бэкдора CR4T. Имплантат CR4T, разработанный на C/C++ и GoLang, предоставляет хакеру доступ к консоли на зараженном компьютере, выполняет файловые операции, а также загружает и выгружает файлы после установки контакта с C2-сервером.
Кроме того, Golang-вариант CR4T способен обеспечить постоянство за счет использования техники перехвата COM-объектов и использования Telegram API для связи с C2-сервером.
Телеметрия Лаборатории Касперского выявила жертву на Ближнем Востоке еще в феврале 2024 года. Кроме того, в конце 2023 года произошло несколько загрузок одного и того же вредоносного ПО в полупубличный сервис сканирования вредоносных программ, всего было отправлено более 30 заявок. Другие источники, предположительно представляющие собой выходные узлы VPN, расположены в Южной Корее, Люксембурге, Японии, Канаде, Нидерландах и США.
В России может появиться еще одна антифрод-платформа. По замыслу, система учета и анализа телефонного мошенничества (СУАТМ) позволит вовлечь в обмен данными всех заинтересованных лиц с тем, чтобы охватить даже такие каналы, как IP-телефония и мессенджеры.
Автором идеи объединить на общей платформе всех участников рынка — банки, операторов связи, регуляторов, правоохранительные органы — является «Тинькофф». По сути, это будет аналог автоматизированной системы ФинЦЕРТ Банка России, но для телекома, у которого сейчас есть только «Антифрод» Роскомнадзора.
СУАТМ в числе прочего поможет в реальном времени выявлять операторов, обеспечивающих работу мошеннических кол-центров, и сообщать о таких нарушениях регулятору. Новую систему также можно будет использовать для блокировки IMаккаунтов, используемых обманщиками, и звонков с виртуальных сим-карт.
Сценарий взаимодействия при этом может выглядеть следующим образом. Клиент жалуется банку на мошеннический звонок, тот отправляет уведомление в СУАТМ, система в режиме реального времени получает от телеоператора информацию об инициаторе звонка.
Если это другой оператор, перебирается вся цепочка, и данные «нулевого пациента» передаются всем провайдерам для блокировки мошеннического трафика либо аккаунта в мессенджере. Об источнике также ставятся в известность РКН и МВД. Если виновник — оператор, его могут оштрафовать на 500 тыс. руб. за пропуск мошеннических звонков.
По словам «Тинькофф», банки, операторы, ЦБ положительно восприняли инициативу. Однако для эффективной работы СУАТМ придется корректировать нормативную базу. Операторов нужно будет обязать подключиться к новой антифрод-платформе. Кроме того, созданию подобной системы наверняка будет мешать регуляторный запрет на передачу персональных данных сторонним организациям.
Автором идеи объединить на общей платформе всех участников рынка — банки, операторов связи, регуляторов, правоохранительные органы — является «Тинькофф». По сути, это будет аналог автоматизированной системы ФинЦЕРТ Банка России, но для телекома, у которого сейчас есть только «Антифрод» Роскомнадзора.
СУАТМ в числе прочего поможет в реальном времени выявлять операторов, обеспечивающих работу мошеннических кол-центров, и сообщать о таких нарушениях регулятору. Новую систему также можно будет использовать для блокировки IMаккаунтов, используемых обманщиками, и звонков с виртуальных сим-карт.
Сценарий взаимодействия при этом может выглядеть следующим образом. Клиент жалуется банку на мошеннический звонок, тот отправляет уведомление в СУАТМ, система в режиме реального времени получает от телеоператора информацию об инициаторе звонка.
Если это другой оператор, перебирается вся цепочка, и данные «нулевого пациента» передаются всем провайдерам для блокировки мошеннического трафика либо аккаунта в мессенджере. Об источнике также ставятся в известность РКН и МВД. Если виновник — оператор, его могут оштрафовать на 500 тыс. руб. за пропуск мошеннических звонков.
По словам «Тинькофф», банки, операторы, ЦБ положительно восприняли инициативу. Однако для эффективной работы СУАТМ придется корректировать нормативную базу. Операторов нужно будет обязать подключиться к новой антифрод-платформе. Кроме того, созданию подобной системы наверняка будет мешать регуляторный запрет на передачу персональных данных сторонним организациям.
Киберпреступники начали взламывать телеграм-аккаунты при помощи тематических сайтов с изображениями, рассказали аналитики группы компаний «Солар».
Сотрудники центра мониторинга внешних цифровых угроз Solar AURA обнаружили более 300 ресурсов, созданных для кражи профилей в Telegram. На таких сайтах злоумышленники размещают привлекательные изображения, которые пользователи могут найти в поисковой выдаче.
При переходе по ссылке на картинку пользователя перенаправляют на фишинговый ресурс, имитирующий страницу Telegram. Большинство из них носят название вроде «Тебе понравится».
При попытке присоединиться к сообществу пользователь попадает на страницу с QR-кодом или формой для ввода логина и пароля от своего аккаунта в мессенджере. Если данные будут введены, они автоматически попадут к мошенникам. Включенная двухфакторная аутентификация не является преградой для злоумышленников: если ввести полученный код подтверждения на фишинговом сайте, злоумышленники получат доступ к профилю на своем устройстве и смогут завершить сессию настоящего владельца аккаунта.
Интересная особенность данной схемы – мошенники используют домены, которые по тематике не имеют привязки к распространяемым изображениям, друг к другу или к мессенджеру. Помимо этого, фишинговые сайты, созданные для кражи данных в Telegram, используют различные методы сокрытия вредоносного содержимого. Например, сайты в автоматическом режиме проверяют, откуда был осуществлен переход по ссылке. Если пользователь перешел не со страницы поисковой системы, то вместо фишингового сайта ему демонстрируется исходное изображение, которое он искал. Это делается для того, чтобы затруднить блокировку таких ресурсов: если пользователь решит пожаловаться на такой сайт и перешлет ссылку, вредоносный контент на нем просто не откроется.
По данным Солар, эта массированная кампания стартовала в декабре 2023 года. Хакеры создали сеть однотипных сайтов «с сотнями тысяч изображений» и описаний к ним.
Сотрудники центра мониторинга внешних цифровых угроз Solar AURA обнаружили более 300 ресурсов, созданных для кражи профилей в Telegram. На таких сайтах злоумышленники размещают привлекательные изображения, которые пользователи могут найти в поисковой выдаче.
При переходе по ссылке на картинку пользователя перенаправляют на фишинговый ресурс, имитирующий страницу Telegram. Большинство из них носят название вроде «Тебе понравится».
При попытке присоединиться к сообществу пользователь попадает на страницу с QR-кодом или формой для ввода логина и пароля от своего аккаунта в мессенджере. Если данные будут введены, они автоматически попадут к мошенникам. Включенная двухфакторная аутентификация не является преградой для злоумышленников: если ввести полученный код подтверждения на фишинговом сайте, злоумышленники получат доступ к профилю на своем устройстве и смогут завершить сессию настоящего владельца аккаунта.
Интересная особенность данной схемы – мошенники используют домены, которые по тематике не имеют привязки к распространяемым изображениям, друг к другу или к мессенджеру. Помимо этого, фишинговые сайты, созданные для кражи данных в Telegram, используют различные методы сокрытия вредоносного содержимого. Например, сайты в автоматическом режиме проверяют, откуда был осуществлен переход по ссылке. Если пользователь перешел не со страницы поисковой системы, то вместо фишингового сайта ему демонстрируется исходное изображение, которое он искал. Это делается для того, чтобы затруднить блокировку таких ресурсов: если пользователь решит пожаловаться на такой сайт и перешлет ссылку, вредоносный контент на нем просто не откроется.
По данным Солар, эта массированная кампания стартовала в декабре 2023 года. Хакеры создали сеть однотипных сайтов «с сотнями тысяч изображений» и описаний к ним.
Появился гаджет, похожий на Game Boy, который прячет в себе эмулятор ключа. Он перехватывает сигнал и копирует его. Так если оригинальный брелок был утерян, открыть дверь и завести автомобиль можно с помощью резервной копии. На японском рынке гаджет появился в начале года по цене около $30 000.
Продавцы заявляют, что товар предназначен исключительно для благих целей, однако автоугонщики освоили гаджет быстрее. Достаточно находиться недалеко от хозяина машины, в момент снятия сигнализации. По словам канала FNN Prime Online, таким образом воры смогли угнать Land Cruiser актрисы, певицы и члена совета депутатов Японии Дзюнко Михара прямо из ее гаража.
Продавцы заявляют, что товар предназначен исключительно для благих целей, однако автоугонщики освоили гаджет быстрее. Достаточно находиться недалеко от хозяина машины, в момент снятия сигнализации. По словам канала FNN Prime Online, таким образом воры смогли угнать Land Cruiser актрисы, певицы и члена совета депутатов Японии Дзюнко Михара прямо из ее гаража.
Ранее мы писали про критическую уязвимость в PAN-OS. В пятницу Palo Alto раскрыла больше подробностей о ней.
Forwarded from Cyber Media
🥳 Дни без опасности: праздники и памятные даты, связанные с ИБ
Информационная безопасность – довольно сложная сфера, где наиболее громкие информационные поводы несут негатив. Атаки, угрозы, утечки, вирусы, оборотные штрафы – эти инфоповоды собирают куда больше просмотров, чем проекты внедрения систем ИБ, новости о киберучениях или релизах новых продуктов.
Однако даже в такой сложной сфере есть праздники – международные, государственные, неофициальные и просто памятные даты, связанные с тем или иным государственным регуляторов, софтом или отдельной личностью.
➡️ В новой статье на сайте собрали наиболее известные праздники, связанные с информационной безопасностью. И порассуждали с экспертами о том, появления каких «ИБ-праздников» стоит ожидать в обозримом будущем.
Информационная безопасность – довольно сложная сфера, где наиболее громкие информационные поводы несут негатив. Атаки, угрозы, утечки, вирусы, оборотные штрафы – эти инфоповоды собирают куда больше просмотров, чем проекты внедрения систем ИБ, новости о киберучениях или релизах новых продуктов.
Однако даже в такой сложной сфере есть праздники – международные, государственные, неофициальные и просто памятные даты, связанные с тем или иным государственным регуляторов, софтом или отдельной личностью.
Please open Telegram to view this post
VIEW IN TELEGRAM
В плагине Forminator для WordPress, который суммарно установлен на 500 000 сайтов, обнаружена критическая уязвимость, позволяющая злоумышленникам осуществлять беспрепятственную загрузку файлов на сервер.
Forminator компании WPMU DEV представляет собой конструктор для платежных форм, контактов, обратной связи, викторин, опросов и анкет для сайтов под управлением WordPress. Плагин использует простую функциональность drag-and-drop и обладает широкими возможностями для сторонних интеграций.
На прошлой неделе японский CERT опубликовал предупреждение о наличии в Forminator критической уязвимости, которая позволяет удаленным злоумышленникам загружать малварь на сайты, использующие плагин.
Суммарно в бюллетене безопасности японского CERT перечислены сразу три уязвимости в Forminator:
- CVE-2024-28890 — некорректная проверка файлов при загрузке, что позволяет удаленному атакующему загрузить и выполнить вредоносные файлы на сервере сайта;
- CVE-2024-31077 — SQL-инъекция, позволяющий удаленным злоумышленникам с правами администратора выполнять произвольные SQL-запросы в БД сайта;
- CVE-2024-31857 — XSS-уязвимость, позволяющая удаленному атакующему выполнить произвольный HTML и скриптовый код в браузере пользователя, если тот перейдет по специально созданной ссылке.
Администраторам сайтов, использующим Forminator, рекомендуется как можно скорее обновить плагин до версии 1.29.3, в которой устранены все три недостатка.
Согласно официальной статистике WordPress.org, с момента выпуска патча плагин скачали около 180 000 пользователей. Если предположить, что все эти загрузки относились к последней, обновленной версии, то остаются еще 320 000 сайтов, которые по-прежнему уязвимы для атак.
Forminator компании WPMU DEV представляет собой конструктор для платежных форм, контактов, обратной связи, викторин, опросов и анкет для сайтов под управлением WordPress. Плагин использует простую функциональность drag-and-drop и обладает широкими возможностями для сторонних интеграций.
На прошлой неделе японский CERT опубликовал предупреждение о наличии в Forminator критической уязвимости, которая позволяет удаленным злоумышленникам загружать малварь на сайты, использующие плагин.
Суммарно в бюллетене безопасности японского CERT перечислены сразу три уязвимости в Forminator:
- CVE-2024-28890 — некорректная проверка файлов при загрузке, что позволяет удаленному атакующему загрузить и выполнить вредоносные файлы на сервере сайта;
- CVE-2024-31077 — SQL-инъекция, позволяющий удаленным злоумышленникам с правами администратора выполнять произвольные SQL-запросы в БД сайта;
- CVE-2024-31857 — XSS-уязвимость, позволяющая удаленному атакующему выполнить произвольный HTML и скриптовый код в браузере пользователя, если тот перейдет по специально созданной ссылке.
Администраторам сайтов, использующим Forminator, рекомендуется как можно скорее обновить плагин до версии 1.29.3, в которой устранены все три недостатка.
Согласно официальной статистике WordPress.org, с момента выпуска патча плагин скачали около 180 000 пользователей. Если предположить, что все эти загрузки относились к последней, обновленной версии, то остаются еще 320 000 сайтов, которые по-прежнему уязвимы для атак.
В китайских клавиатурах для смартфонов выявили уязвимости, позволяющие перехватить нажатие клавиш пользователем. Проблемы затрагивают восемь из девяти таких приложений от Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi.
Как выяснили исследователи из Citizen Lab, единственный разработчик, чьи клавиатуры не содержат описанных уязвимостей, — техногигант Huawei.
По оценкам аналитиков, баги этого класса могут угрожать миллиарду пользователей, предпочитающих мобильные устройства китайского рынка.
Среди зафиксированных проблем Citizen Lab выделила следующие:
- Баг Baidu IME позволяет перехватчикам в Сети расшифровывать передачу данных и извлекать введённый текст. Всему виной ошибка в шифровании BAIDUv3.1.
- iFlytek IME — соответствующее Android-приложение позволяет восстанавливать некорректно зашифрованные сетевые передачи в виде простого текста.
- Редактор методов ввода Samsung на Android передаёт нажатия клавиш в незашифрованном виде по HTTP.
IME от Xiaomi, OPPO, Vivo и Honor содержат те же вышеописанные дыры.
Пользователям рекомендуют держать в актуальном состоянии операционную систему и установленные приложения, а также перейти с облачных клавиатур на те, что работают на устройстве.
Как выяснили исследователи из Citizen Lab, единственный разработчик, чьи клавиатуры не содержат описанных уязвимостей, — техногигант Huawei.
По оценкам аналитиков, баги этого класса могут угрожать миллиарду пользователей, предпочитающих мобильные устройства китайского рынка.
Среди зафиксированных проблем Citizen Lab выделила следующие:
- Баг Baidu IME позволяет перехватчикам в Сети расшифровывать передачу данных и извлекать введённый текст. Всему виной ошибка в шифровании BAIDUv3.1.
- iFlytek IME — соответствующее Android-приложение позволяет восстанавливать некорректно зашифрованные сетевые передачи в виде простого текста.
- Редактор методов ввода Samsung на Android передаёт нажатия клавиш в незашифрованном виде по HTTP.
IME от Xiaomi, OPPO, Vivo и Honor содержат те же вышеописанные дыры.
Пользователям рекомендуют держать в актуальном состоянии операционную систему и установленные приложения, а также перейти с облачных клавиатур на те, что работают на устройстве.
Киберпреступная группа CiberInteligenciaSV опубликовала на BreachForums часть исходного кода биткойн-кошелька Chivo, используемого правительством Сальвадора.
Этот шаг последовал за серией взломов Chivo, включая недавнюю утечку персональных данных 5,1 миллиона сальвадорцев в начале апреля.
22 апреля местный кибербезопасный проект VenariX предупреждал в X о том, что хакеры планируют выложить код в сеть, ссылаясь на телеграм-канал CiberInteligenciaSV.
Также был опубликован файл Codigo.rar, содержащий скомпилированный код и VPN-данные для доступа к сети банкоматов.
В сентябре 2021 Сальвадор стал первой страной, признавшей биткойн законным платежным средством. Власти активно продвигали Chivo как официальный кошелек для населения, позволяющий покупать, продавать, хранить и снимать BTC через банкоматы.
Однако с самого запуска Chivo сопровождали многочисленные жалобы на баги, технические сбои и ошибки в работе. Что интересно, несмотря на сообщения о недавней утечке, правительство Сальвадора до сих пор официально не прокомментировало ситуацию.
Этот шаг последовал за серией взломов Chivo, включая недавнюю утечку персональных данных 5,1 миллиона сальвадорцев в начале апреля.
22 апреля местный кибербезопасный проект VenariX предупреждал в X о том, что хакеры планируют выложить код в сеть, ссылаясь на телеграм-канал CiberInteligenciaSV.
Также был опубликован файл Codigo.rar, содержащий скомпилированный код и VPN-данные для доступа к сети банкоматов.
В сентябре 2021 Сальвадор стал первой страной, признавшей биткойн законным платежным средством. Власти активно продвигали Chivo как официальный кошелек для населения, позволяющий покупать, продавать, хранить и снимать BTC через банкоматы.
Однако с самого запуска Chivo сопровождали многочисленные жалобы на баги, технические сбои и ошибки в работе. Что интересно, несмотря на сообщения о недавней утечке, правительство Сальвадора до сих пор официально не прокомментировало ситуацию.
Исследователи кибербезопасности выявили продолжающуюся кампанию кибератак, которая использует фишинговые письма для распространения вредоносного программного обеспечения под названием SSLoad. Кампания получила кодовое название FROZEN#SHADOW и включает в себя использование программы Cobalt Strike и программного обеспечения для удалённого доступа ConnectWise ScreenConnect.
Специалисты из компании Securonix отметили, что SSLoad разработан для тайного проникновения в системы, сбора конфиденциальной информации и передачи данных операторам. Вредонос устанавливает сразу несколько бэкдоров и полезных нагрузок в системе жертвы, чтобы сохранить быстрый доступ и избежать обнаружения.
Фишинговые атаки случайным образом нацелены на организации в Азии, Европе и Америке. Письма содержат ссылки, ведущие к скачиванию JavaScript-файла, который и запускает цепочку заражения.
Ранее в этом месяце Palo Alto Networks обнаружила по меньшей мере два различных метода распространения SSLoad: один предполагает использование контактных форм для встраивания URL-адресов-ловушек, а другой включает документы Microsoft Word с поддержкой макросов. Помимо этого, фишинг через контактные формы активно применяется для распространения другого вредоносного ПО — Latrodectus.
JavaScript-файл, запущенный через «wscript.exe», подключается к сетевому ресурсу и скачивает MSI-установщик, который, в свою очередь, выполняет установку SSLoad через «rundll32.exe» и устанавливает связь с сервером управления.
В начальной фазе разведки, используя Cobalt Strike, злоумышленники устанавливают ScreenConnect, что позволяет им удалённо контролировать заражённый хост. Затем они начинают сбор учётных данных и сканирование системы на предмет чувствительной информации.
Исследователями наблюдалось, что атакующие переходят к другим системам в сети, включая контроллер домена, и в конечном итоге создают собственную учётную запись администратора домена.
Специалисты из компании Securonix отметили, что SSLoad разработан для тайного проникновения в системы, сбора конфиденциальной информации и передачи данных операторам. Вредонос устанавливает сразу несколько бэкдоров и полезных нагрузок в системе жертвы, чтобы сохранить быстрый доступ и избежать обнаружения.
Фишинговые атаки случайным образом нацелены на организации в Азии, Европе и Америке. Письма содержат ссылки, ведущие к скачиванию JavaScript-файла, который и запускает цепочку заражения.
Ранее в этом месяце Palo Alto Networks обнаружила по меньшей мере два различных метода распространения SSLoad: один предполагает использование контактных форм для встраивания URL-адресов-ловушек, а другой включает документы Microsoft Word с поддержкой макросов. Помимо этого, фишинг через контактные формы активно применяется для распространения другого вредоносного ПО — Latrodectus.
JavaScript-файл, запущенный через «wscript.exe», подключается к сетевому ресурсу и скачивает MSI-установщик, который, в свою очередь, выполняет установку SSLoad через «rundll32.exe» и устанавливает связь с сервером управления.
В начальной фазе разведки, используя Cobalt Strike, злоумышленники устанавливают ScreenConnect, что позволяет им удалённо контролировать заражённый хост. Затем они начинают сбор учётных данных и сканирование системы на предмет чувствительной информации.
Исследователями наблюдалось, что атакующие переходят к другим системам в сети, включая контроллер домена, и в конечном итоге создают собственную учётную запись администратора домена.