×

Trend Micro: "прогулка" хакеров Black Basta по сети занимает 43 минуты

Trend Micro: "прогулка" хакеров Black Basta по сети занимает 43 минуты

Киберпреступники вернулись к вымогательским атакам, используя новый инструмент для пентеста и старый способ заражения.

Согласно новому отчету Trend Micro, после короткого перерыва группировка Black Basta возобновила распространение вредоносного ПО QAKBOT 8 сентября 2022 г. В обнаруженной кампании злоумышленники распространяют QAKBOT через SmokeLoader , Emotet и вредоносный спам, а затем развертывают фреймворк Brute Ratel в качестве полезной нагрузки второго этапа.


Временная шкала атаки

Обнаруженная кампания начинается с электронного письма, содержащего вредоносный URL-адрес, на котором нужно скачать архив с документами.


Вредоносная страница

Архив содержит ISO-файл, который представляет из себя видимый LNK-файл и два скрытых подкаталога, каждый из которых содержит различные файлы и каталоги.


Содержимое ISO-файла

Кроме того, инфраструктура C&C-сервера географически распределена между скомпрометированными хостами, находящимися преимущественно в широкополосных сетях интернет-провайдеров (ISP) в 28 странах. Операторы QAKBOT пользуются каждым C&C-сервером один раз и часто меняют их в каждой кампании, хотя некоторые сохраняются в нескольких конфигурациях QAKBOT.

Через 6 минут после внедрения QAKBOT проводит разведку в сети, а затем сбрасывает боковое перемещение киберпреступники выполняют с помощью Cobalt Strike


Страница с вредоносным файлом

Также исследователи выявили еще одну кампанию Black Basta, в ходе которой вредоносное ПО доставляется в виде защищенного паролем ZIP-файла с помощью техники HTML Smuggling, что позволяет злоумышленнику внедрить закодированный вредоносный скрипт HTML-вложение или на веб-страницу в обход средств безопасности. Как только пользователь открывает HTML-страницу в браузере, скрипт декодируется и доставляется полезная нагрузка QAKBOT.

Исследователи Trend Micro написали несколько рекомендаций, чтобы избежать атак такого типа:

  • Перед загрузкой вложений или переходом по ссылкам из писем проверьте отправителя и содержимое письма;
  • Наведите указатель мыши на ссылку, чтобы увидеть, на какую страницу она ведет;
  • Проверьте личность отправителя. Не взаимодействуйте с письмом от неизвестного отправителя.

Илон Маск обнародовал переписку Twitter с Белым Домом

Из документов следует, что администрация Twitter удаляла твиты пользователей и знаменитостей «по указанию политической партии».

Новое вредоносное ПО Redigo атакует серверы Redis

Злоумышленники внедряют вредоноса, используя критическую RCE-уязвимость.

Роскомнадзор пояснил, относится ли аура человека к биометрическим данным

В ведомстве считают, что согласно действующему законодательству, это в принципе не запрещено.