ANY.RUN представил ежемесячный отчет анализа вредоносного ПО
ANY.RUN представил ежемесячный отчет анализа вредоносного ПО
Ежемесячный отчет ANY.RUN об анализе вредоносного ПО за август 2023 года освещает важные события в области кибербезопасности
В августе Министерство юстиции США возглавило глобальную операцию по нейтрализации вредоносного ПО Qakbot, конфисковав криптовалюту на сумму более 8,6 миллионов долларов и разрушив ее бот-сеть. LummaC Stealer использует Amadey для доставки полезных данных, Raccoon Stealer возвращается с новыми функциями, новый вариант XLoader для macOS, замаскированный под приложение Office для кражи данных, и многое другое.
1. Вредоносное ПО Qakbot нейтрализовано в глобальной операции
Министерство юстиции США в сотрудничестве с международными партнерами разрушило ботнет и вредоносное ПО Qakbot.
Эта операция включала действия в нескольких странах, включая США, Францию, Германию и Нидерланды. Удаление привело к удалению вредоносного кода Qakbot с компьютеров жертв и конфискации более 8,6 миллионов долларов США в криптовалюте.
Qakbot был основным вектором заражения для нескольких известных групп программ-вымогателей, включая Conti и REvil. В ходе операции также было выявлено более 700 000 зараженных компьютеров по всему миру, что фактически отрезало их от бот-сети Qakbot.
2. LummaC Stealer использует бот Amadey для развертывания SectopRAT в многоэтапных атаках
LummaC Stealer находится в авангарде многоэтапной кампании по распространению вредоносного ПО.
Похититель начинает с перехвата конфиденциальных данных, а затем вызывает бота Amadey для оценки системы. Впоследствии Amadey Bot развертывает SectopRAT, трояна удаленного доступа, предназначенного для кражи данных и удаленного управления.
В кампании используются платформы «Вредоносное ПО как услуга» (MaaS), что упрощает участие различных субъектов угроз. В статье подробно рассматриваются технические аспекты этих штаммов вредоносного ПО и цепочки их заражения.
3. Raccoon Stealer возвращается с новыми функциями
Raccoon Stealer, угроза типа «вредоносное ПО как услуга» (MaaS), вернулась с расширенными возможностями после шестимесячного перерыва.
Raccoon представил новые функции, такие как быстрый поиск файлов cookie и пропусков, автоматическую блокировку ботов и систему отчетов для блокировки IP-адресов, используемых сканерами и ботами. Эти обновления призваны облегчить злоумышленникам поиск необходимой информации, одновременно усложняя средствам безопасности обнаружение вредоносного ПО.
4. Вредоносное ПО DreamBus нацелено на серверы RocketMQ через критическую уязвимость.
Новая версия вредоносного ПО ботнета DreamBus использует критическую уязвимость удаленного выполнения кода на серверах RocketMQ. Уязвимость, определенная как CVE-2023-33246 , затрагивает RocketMQ версии 5.1.0 и старше.
Вредоносная программа использует инструмент разведки с открытым исходным кодом interactsh для идентификации версий программного обеспечения на серверах, доступных в Интернете. Затем он загружает вредоносный bash-скрипт под названием «reketed» с прокси-службы Tor, уклоняясь от обнаружения AV-движками VirusTotal.
DreamBus фокусируется на майнинге Monero, но его модульная природа может позволить расширить возможности в будущем. Серверы RocketMQ обычно используются в коммуникациях, поэтому злоумышленники потенциально могут использовать конфиденциальные данные разговоров для большей монетизации.
5. Поддельные обновления браузера приводят к заражению NetSupport RAT
Исследователи Trellix выявили кампанию, использующую поддельные обновления браузера Chrome для доставки NetSupport Manager RAT.
Кампания использует взломанные веб-сайты для представления поддельных обновлений Chrome, побуждая жертв установить инструмент удаленного администрирования. Тактика аналогична той, которая использовалась в ранее сообщенной кампании SocGholish, но с некоторыми отличиями в используемых инструментах.
В кампании используется сочетание пакетных файлов, сценариев VB и инструмента Curl для загрузки и установки RAT, что усложняет обнаружение этой атаки решениями для конечных точек.
6. Вариант MacOS XLoader маскируется под приложение Office
Исследователи SentinelOne обнаружили новый вариант вредоносного ПО XLoader для macOS.
В отличие от предыдущих версий, зависящих от Java, эта написана на C и Objective C и подписана подписью разработчика Apple.
Вредоносная программа маскируется под офисное приложение под названием OfficeNote. Его цель – украсть секреты браузера и буфера обмена, ориентируясь на пользователей в рабочих средах. Несмотря на то, что Apple отозвала подпись, XProtect по-прежнему не предотвращает ее выполнение.
7. Уязвимость KeePass позволяет получить мастер-пароли из памяти
Новая уязвимость в менеджере паролей с открытым исходным кодом KeePass позволяет злоумышленникам извлекать мастер-пароли непосредственно из памяти программного обеспечения.
Уязвимость, обозначенная как CVE-2023-32784, затрагивает версии KeePass 2.x до версии 2.54. Это подвергает злоумышленников риску восстановления основного пароля в виде открытого текста из различных источников памяти, включая дампы процессов и файлы гибернации. Инструмент для проверки концепции, демонстрирующий эксплойт, был опубликован на GitHub.
Хотя эксплойт требует локального доступа к системе пользователя, он вызывает опасения по поводу безопасности менеджеров паролей. KeePass планирует выпустить патч к началу июня для устранения этой уязвимости.
8. Реклама в Facebook на тему LLM распространяет похитителей профилей
Злоумышленники используют рекламу в Facebook, посвященную моделям большого языка (LLM), для распространения вредоносных надстроек браузера. Эти дополнения направлены на кражу учетных данных жертв.
Кампания использует платные рекламные акции Facebook и средства сокращения URL-адресов, такие как rebrand.ly, чтобы заманить жертв. После нажатия на рекламу происходит перенаправление на веб-сайты, предлагающие «пакет AI», который на самом деле представляет собой вредоносный файл, размещенный в облачных хранилищах, таких как Google Drive и Dropbox. При запуске файл устанавливает вредоносное расширение Chrome, предназначенное для кражи файлов cookie Facebook и токенов доступа.
Meta удалила мошеннические страницы и рекламу. Однако злоумышленники, судя по всему, нацелены на менеджеров и администраторов деловых социальных сетей, используя их интерес к технологиям искусственного интеллекта для злонамеренной выгоды.
9. Программа-вымогатель BlackCat развивается с помощью инструментов Impacket и RemCom
Обновленная версия программы-вымогателя BlackCat теперь включает инструменты Impacket и RemCom для расширенного горизонтального перемещения и удаленного выполнения кода.
Вредоносная программа использует Impacket для сброса учетных данных и удаленного выполнения служб, что облегчает более широкое развертывание в целевых средах. В него также встроен хакерский инструмент RemCom для удаленного выполнения кода и жестко закодированные учетные данные скомпрометированной цели для горизонтального перемещения.
Этот новый вариант следует за обновленной версией под названием Sphynx, которая появилась ранее в этом году с улучшенной скоростью шифрования и скрытностью. Группа, стоящая за BlackCat, продолжает развиваться, недавно выпустив API утечки данных, чтобы повысить заметность своих атак.
10. Вредоносное ПО Gootloader нацелено на юридические фирмы через SEO-водитель
Вредоносное ПО Gootloader использует методы SEO для атак на юридические фирмы и частных лиц, ищущих юридическую информацию.
Вредоносное ПО манипулирует результатами поисковых систем, перенаправляя пользователей на взломанные сайты WordPress. Оказавшись там, пользователи склоняются к загрузке вредоносных файлов, замаскированных под юридические документы. SpiderLabs компании Trustwave сообщает, что почти 50% этих атак направлены на юридические фирмы, а вредоносное ПО имеет многоязычный охват и нацелено на английский, французский, испанский, португальский, немецкий и южнокорейский языки.
Gootloader уникален в своем подходе: он использует SEO для заманивания жертв, а не полагается на традиционные методы фишинга. Этот метод позволяет обрабатывать большой объем конкретных наборов данных, что делает юридические фирмы особенно уязвимыми из-за конфиденциальной информации, с которой они работают.
Завершаем август с ANY.RUN
Команда ANY.RUN уделяла большое внимание сетевым правилам, добавив в августе 120 новых правил Suricata, тем самым значительно расширив охват угроз ANY.RUN.