Поделиться
Emotet вернулся, Lokibot по-прежнему активен — «Лаборатория Касперского» рассказывает об актуальных киберугрозах
Ландшафт киберугроз постоянно расширяется и усложняется, и «Лаборатория Касперского» постоянно находит новые тому подтверждения.
Новый загрузчик. В июне 2023 г/ исследователи «Лаборатории Касперского» обнаружили новый загрузчик. Ему было присвоено название DarkGate. Он обладает расширенными функциями по сравнению с обычными вредоносными программами такого типа. В числе возможностей DarkGate — скрытое VNC-подключение, обход работы средства защиты Microsoft Defender, умение красть историю браузера, обратный прокси, файловый менеджер, умение красть токены Discord. Цепочка заражения состоит из четырех этапов. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов). Об этом CNews сообщили представители «Лаборатории Касперского».
Возвращение Emotet. В 2023 г. вновь была замечена активность печально известного ботнета — впервые после его ликвидации в 2021 г. В новой волне атак злоумышленники использовали популярный вектор заражения — рассылали письма с вредоносными файлами OneNote. Если жертва открывает и пытается посмотреть вложение, она запускает выполнение вредоносного скрипта VBScript.
Новая кампания с использованием известного стилера. Также «Лаборатория Касперского» обнаружила фишинговую кампанию, нацеленную на организации, занимающиеся морскими перевозками грузов. В ходе кампании злоумышленники внедряли Lokibot. Этот инфостилер был впервые обнаружен в 2016 г. Он предназначен для кражи учетных данных из разных приложений, в том числе браузеров и FTP-клиентов. Электронные письма, рассылаемые в рамках данной атаки, содержали Excel-файл, в котором пользователям предлагалось включить макросы. Злоумышленники использовали известную уязвимость в Microsoft Office (CVE-2017-0199), которая ведет к загрузке RTF-документа. Этот RTF-документ затем использует другую уязвимость (CVE-2017-11882), чтобы загрузить и запустить LokiBot.
«Возрождение Emotet и продолжающееся использование Lokibot, как и появление DarkGate, — это серьезное напоминание о постоянно развивающихся киберугрозах, с которыми мы сталкиваемся. Злоумышленники все время усложняют методы заражения, и организациям бывает трудно определить, от каких киберугроз следует защищаться в первую очередь. В этом помогают отчеты о новейших тактиках, методах и процедурах атакующих», — сказал Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».
Чтобы защитить компанию от кибератак, специалисты «Лаборатории Касперского» рекомендуют: регулярно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей; ввести политику создания надежных паролей к корпоративным сервисам и их регулярной смены и следить за ее соблюдением; установить мультифакторную аутентификацию для доступа к удаленным сервисам; внедрить надежное решение, в котором есть модуль поведенческого детектирования и контроля аномалий для эффективной защиты от известных и неизвестных угроз; внедрить EDR-решение и сервис, который умеет распознавать и останавливать атаки на ранней стадии, до того как злоумышленники нанесут существенный урон.
Короткая ссылка
