Malwarebytes виявила спам-кампанії з підробленими патчами для вразливості у Kaseya VSA
Malwarebytes виявили спам-кампанії з підробленими патчами для вразливості в Kaseya VSA
Кіберзлочинці намагаються скористатися критичною ситуацією, створеною масовими атаками програм-вимагачів REvil через провайдера Kaseya MSP, і розсилати спам-листи потенційним жертвам з корисним навантаженням Cobalt Strike, замаскованим під оновлення безпеки для Kaseya VSA.
Cobalt Strike - це законний інструмент для тестування безпеки та моделювання загроз, дуже популярний серед хакерів. Кіберзлочинці використовують його для виконання різних завдань після первинного злому мережі, зокрема, для отримання віддаленого доступу до скомпрометованих систем. Метою таких атак зазвичай є або крадіжка даних, або розгортання шкідливого ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ. Згідно з торішнім звітом Cisco Talos Incident Response , в четвертому кварталі минулого року фреймворк Cobalt Strike використовувався в 66% всіх атак програм-вимагачів.
Спам-кампанія Malwarebytes Threat Intelligence використовує два способи розгортання корисного навантаження Cobalt Strike. Зловмисники надсилають потенційним жертвам електронні листи зі шкідливим вкладенням та вбудованим посиланням, яке виглядає так, ніби це патч від Microsoft для вразливості нульового дня в Kaseya VSA, яку використовують оператори програм-вимагачів REvil. Коли жертва запускає шкідливе вкладення або завантажує і запускає підроблений патч від Microsoft, зловмисники отримують постійний віддалений доступ до свого комп'ютера.
Широко розрекламована кібератака на Касею, яка торкнулася багатьох її клієнтів, є чудовою приманкою. Оскільки сама компанія визнала, що не виправила вразливість нульового дня в VSA, якою скористалися оператори REvil, багато її клієнти цілком можуть стати жертвами вищезгаданої фішингової компанії, яка прагне захистити себе від атак.
