Dark Watchman демонстрирует эволюцию fileless-угроз
Новый открывающий удаленный доступ (RAT) троян под названием Dark Watchman использует fileless-технику распространения. Написанный на JavaScript этот RAT оказывается более скрытным чем многие другие.
Dark Watchman размещается в реестре Windows как скрипт. А запланированные задания выполняются для запуска этого скрипта при каждом входе пользователя в систему. В составе вредоносного ПО также есть кейлоггер, который уже представляет собой код на C#. Его компиляция происходит при помощи скрипта PowerShell и легитимного инструмента .NET — CSC.exe.
RAT может загружать и исполнять новых загрузчиков, исполнять произвольные команды, отправлять файлы на сервер command-and-control, а также обновлять свой собственный код. Также имеются признаки загрузки Ransomware.
Эффективное обнаружение угроз такого типа обеспечивают только решения с функцией поведенческого обнаружения. Ведь вредоносных файлов получается что и вовсе нет.
Португальский медиа-гигант Impresa парализован атакой Ransomware
Атака Ransomware на португальскую медиа-группу Impresa привела к отключению SIC, крупнейшего ТВ-оператора в стране, а также издателя еженедельника Expresso.
Группировка Ransomware Lapsus$ взяла на себя ответственность за эту кибератаку. Также хакеры зявили, что они получили контроль над учетной записью AWS. Это та же самая группировка киберпреступности, которая в прошлом скомпрометировал Бразильское Министерство Здравоохранения и украла 50 Тб данных в декабре 2021.
Не удивительно, что объемы атак Ransomware продолжают нарастать. Несмотря на наличие средств защиты достаточно крупные компании регулярно становятся жертвами атак из-за новых вариантов шифровальщиков или применения новых техник злоумышленниками.
Night Sky — новое Ransomware наращивает свою активность
Новый оператор Ransomware под названием Night Sky был впервые замечен за злонамеренной активностью в конце 2021 года. Группе уже удалось успешно атаковать двух жертв в Японии и Бангладеш. Данные, украденные во время этих атак, уже были опубликованы в сети.
Ransomware Night Sky шифрует все файлы, кроме приложений и библиотек (.exe или .dll). К названиям зашифрованных файлов расширение .NightSky. Группа использует техники double-extortion. Они не только шифруют файлы и требуют выкуп, но также крадут важные данные жертв и угрожают опубликовать их в случае отказа платить. У одной жертвы они затребовали выкуп в $800 000, а объем требований ко второй так и не было опубликован.
Учитывая свою новизну, такие угрозы как Night Sky остаются очень опасными для тех машин, на которых не установлены средства защиты с модулями противодействия Ransomware. В противном случае защита может среагировать на вторжение слишком поздно.
Первый Patch Tuesday в году принес 96 исправлений
Первый Microsoft Patch Tuesday в 2022 году принес исправления для 96 уязвимостей, 89 из которых были отмечены как важные, а оставшиеся 7 — как критические.
Одним из самых обсуждаемых критически важных патчей стало исправление для уязвимости, позволяющей червю проникать в систему и исполнять произвольный код (RCE), Уязвимость была обнаружена в стэке протокола HTTP. По классификации CVSS она получила оценку 9,8, так как может быть использована для запуска произвольных пакетов на атакуемом сервере.
При этом шесть из семи исправлений направлены на устранение угроз нулевого дня. В их числе еще несколько уязвимостей класса RCE, которые уже были эксплуатированы хакерами до момента выпуска официальных патчей.
Подобное содержание очередного Patch Tuesday снова заставляет задуматься о том, что функции поведенческого анализа и возможности патч-менеджмента становятся критически важными элементами современной системы киберзащиты.
Patchwork создали такой удачный троян, что заразили сами себя!
Индийская группа киберпреступников, действующих под названием Patchwork, недавно заразила…сама себя своим собственным вредоносным ПО. В результате были обнародованы важные данные о деятельности группировки.
Вообще Patchwork (также известные как Dropping Elephant) проявляют преступную активность с 2016 года. С того времени было заражено свыше 2 500 крупных целей по всему миру.
В текущей ситуации, судя по всему, группа потеряла контроль над своим же собственным трояном RAT (remote access trojan) в процессе его разработки. В результате скриншоты и прочая информация утекла с их компьютерных систем Благодаря этому специалистам по ИБ удалось выявить, что злоумышленники тестировали совершенно новый вариант трояна BADNEWS RAT, который они также называют Ragnatela. Для распространения новой (пока экспериментальной) угрозы они использовали фишинговые кампании и уже смогли скомпрометировать сразу несколько крупных компаний.
Patchwork в основном атакует компании и пользователей в Китае и Пакистане. Но, учитывая архитектуру решения, ничто не может помешать им однажды расширить географию целей. А поскольку группировка использует новые версии троянских программ, рассчитывать в защите приходится только на использование искусственного интеллекта и продвинутых технологий обнаружения новых угроз.
Утилита dnSpy обзавелась трояном и помогла атаковать исследователей и разработчиков средств ИБ
Неизвестные злоумышленники недавно запустили серию атак на разработчиков систем защиты и исследователей киберпреступных действий. Для этого использовались вредоносные версии dnSpy, популярного редактора для .NET с функцией отладчика.
Учитывая, что dnSpy более не поддерживается, создатели вируса разместили репозиторий на GitHub, чтобы поделиться кодом полезного инструмента. Естественно, сообществу были предложены поддельные репозитории, в которых содержались зараженные версии утилиты. А благодаря SEO-оптимизации и покупке некоторого количества объявлений, они смогли вывести продвигающие эти “поделки” вредоносные сайты на первую страницу результатов поиска по соответствующей теме.
Не удивительно, что ряд пользователей были заражены, ведь они сознательно устанавливали, как им казалось, полезный инструмент. В этом случае больше всего пользы от своих систем безопасности получили те пользователи, кто установил средства защиты с ИИ и фильтрацией URL — ведь продвижение вредоносного инструмента происходило с использованием нелегитимных сайтов.
В России провели аресты участников группировки REvil
И, наконец, если вы еще не слышали об этом, российские правоохранители провели рейды сразу в 25 местах и арестовали 14 человек, имеющих отношение к киберпреступной группировке REvil. Агенты обнаружили у задержанных $6,8 миллионов наличными в разных валютах, несколько криптокошельков, а также 20 дорогих спортивных машин.
Вообще это знаменательное событие. Ведь именно REvil несут ответственность за множество высокопрофильных атак, в которых пострадали тысячи пользователей. В их числе атаки на JBS Foods и Kaseya VSA, состоявшиеся в прошлом году.