Новая тактика Emotet подразумевает прямую установку Cobalt Strike
Известное по множеству инцидентов с серьезными последствиями, вредоносное ПО Emotet продолжает возрождаться после скоординированных действий целой группы компаний и правоохранителей разных стран по отключению ботнета. В новой версии Emotet устанавливает Cobalt Strike напрямую. Таким образом, мы наблюдаем серьезное отклонение от типичной тактики этой группировки — раньше вредоносное ПО сначала загружало в систему трояна, например, TrickBot или Qbot, а уже посредством этих компонентов загружало Cobalt Strike.
Cobalt Strike интересен тем, что это вполне легитимный инструмент для тестирования систем защиты. Он дает пользователю возможность проверить наличие открытых доступов в сети, а также удаленно исполнять команды. Но данное ПО также пользуется большим спросом у злоумышленников. Атакующие группы часто используют взломанные и модифицированные версии Cobalt Strike, чтобы, например, устанавливать на сетевых машинах Ransomware.
Вредоносный установщик Notepad++ загружает в систему StrongPity
Notepad++ — один из самых популярных бесплатных реакторов текста и исходного кода для Windows. И именно его распространенность стала причиной эксплуатации программы злоумышленниками для распространения вредоносного ПО.
Киберпреступная группировка StrongPity выпустила зараженные инсталлеры, которые действительно устанавливают в системе Notepad++, но кроме этого заражают систему вредоносным ПО.
После запуска вредоносного установщика на исполнение, он создает в системе несколько файлов. Кроме самого Notepad++ вы обзаводитесь также кейлоггером и дополнительным набором вредоносного ПО. Кейлоггер настроен на кражу ваших логинов и паролей, а дополнительные компоненты настроены на поиск и скачивание другой полезной информации, которая может находиться на компьютере.
Справиться с такой угрозой позволяют любые решения с бихевиористическим модулем, которые распознают странное поведение ПО еще на этапе установки и блокируют вредоносную активность. Если у вас нет такого, будьте внимательны с установкой Notepad++.
NIST сообщают о рекорде по количеству уязвимостей пятый год подряд
На днях NIST (National Institute of Standards and Technology) опубликовал новый отчет о количестве уязвимостей в современном ПО и визуализацию этого процесса в виде диаграммы. Вы можете посмотреть на нее в нашем предыдущем посте. По результатам этого исследования эксперты уже пятый год подряд наблюдают рост количества уязвимостей для различных типов ПО. Причем речь идет не просто о росте, а об установке новых рекордов год за годом!
Общее количество уязвимостей в 2021 году выросло до 18 378. И хотя количество CVE с рейтингом “high” несколько снизилось — с 4 381 в прошлом году до 3 646 в текущем, уровень средних и не слишком опасных (на первый взгляд) уязвимостей подрос значительно.
Рейтинг серьезности (severity) таких уязвимостей по методике NIST складывается из целого ряда факторов. И если уязвимость признана “low”, это еще не значит, что она не опасна. Во-первых, брешей может быть сразу несколько, а во-вторых, менее популярную уязвимость могут просто упустить из виду, оставляя открытой дверь для злоумышленников. Да, их сложнее использовать или вред от их эксплуатации может показать не столь значительным, но само количество возможных точек воздействия на систему является тревожным знаком.
Ransomware-атака парализовала бизнес HR-провайдера Kronos
На провайдера HR-сервисов, компанию Kronos была совершена крупная атака Ransomware. Масштаб блокировки систем оказался таким, что под угрозой оказались сервисы начисления зарплаты, а также обработки учета рабочего времени для клиентских организаций.
Компания Kronos является одним из крупнейших HR-операторов на глобальном уровне. Ежегодный доход компании составляет более $1 миллиарда, а в числе клиентов компании можно встретить такие имена как Tesla, Community Bank, San Francisco Municipal Transit Authority и так далее. Так что хакеры могут быть довольны — им удалось поразить очень крупную цель.
В итоге атаки сервисы на базе Kronos Private Cloud были отключены полностью. Также пострадали UKG Workforce Central, UKG TeleStaff и Banking Scheduling. Существует подозрение, что атакующие использовали как раз уязвимость Log4Shell…хотя, вполне возможно, была какая-то другая брешь.
Новые фишинговые кампании используют QR-коды и PowerPoint
Существует бесчисленное количество способов усилить надежность пароля. Но все это не имеет смысла, если ваши учетные данные могут просто украсть. И именно об этой тенденции — краже учетных данных — говорит серия новых фишинговых кампаний.
Клиенты немецких банков Sparkasse и Volksbank Raiffeisenbank были активно атакованы большими потоками фишинга. Вредоносные письма содержали кастомные ссылки, некоторые из которых были спрятаны под…QR-кодами! Эти ссылки вели на опасные сайты, всячески крадущие учетные данные и важную информацию.
Другой пример крупной кампании был замечен в Южной Корее. Тут злоумышленники использовали не QR-коды, а зараженные файлы PowerPoint, которые маскировались под чеки, квитанции, формы заказа. Но вместо слайдов в этих файлах содержались макросы VBA, обеспечивающие переход на стороннюю страницу HTML. А там уже пользователь получал на выполнение скрипт PowerShell и установку Agent Tesla прямо в regAsm.exe (техника process-hollowing). Вредоносное ПО крадет пароли из локальных приложений, таких как браузеры, VPN и почтовые клиенты. Получив такой “заряд”, можно случайно поделиться со злоумышленниками всеми своими сложными паролями. Поэтому эксперты рекомендуют пользователям устанавливать ПО для защиты электронной почты.
Кибератака заставила логистов переключиться на сотовые телефоны
Международная логистическая компания Hellmann Worldwide Logistics — настоящий гигант в своей отрасли. И недавно на его ИТ-инфраструктуру была совершена масштабная кибератака.
Штаб-квартира компании находится в Германии, но офисы и логистические сервисы предоставляются в 173 странах мира. Также у оператора есть крупная партнерская сеть, а количество своих сотрудников достигает 20 000 человек. Ежегодный доход составляет около $3 миллиардов (по данным прошлого года), и хакеры явно нацеливались на компанию в предвкушении большого куша.
Hellmann наняли внешних специалистов ко киберзащите, чтобы помочь с восстановлением систем. И пока все не вернулось обратно “на 100%”, сотрудники компании просят клиентов обращаться к менеджерам ТОЛЬКО по сотовому телефону (избегая email и традиционных звонков). Можно только представить, насколько все это снизило результативность работы и бизнес-показатели компании.
Что же, по всем признакам Hellmann были атакованы Ransomware, но пока не понятно, какая группа стоит за этим, и сколько от них хотят денег в качестве выкупа. Но вряд ли эта сумма будет маленькой.
Атаки Log4Shell показывают высокую активность
Бельгийское министерство обороны и другие организации, работающие на базе виртуальных серверов VMware vCenter, были активно атакованы с использованием уязвимости Log4Shell. И это не удивительно, ведь у VMware было обнаружено около 40 продуктов, которые потенциально подвержены взлому через новую уязвимость. А исследователи безопасности продолжают находить все новые и новые риски, к которым приводит эксплуатация Log4j.
Представитель бельгийского министерства сообщил, что ведомству удалось изолировать поврежденный сегмент сети, сохранив основные функции ИТ-систем. Однако исследователи уже обнаруживают все новые и новые атаки на серверы VMware vCenter. А по общим характерным признакам за всеми этими атаками в Бельгии может стоять хорошо известная специалистам группировка Conti.
Интересно, что уязвимость является новой и фактически относится к категории “нулевого дня”. Однако для большинства сервисов защиту от нее могут обеспечить вполне традиционные решения с функциями поведенческого анализа и ИИ-обнаружения неизвестных угроз.
Conti парализует работу McMenamins
Компания McMenamins из США, управляющая цепочкой заведений питания и отелей, пострадала от еще одной атаки Ransomware. Нападение, случившееся 12 декабря, снова связывают с группировкой Conti.
McMenamins — это еще одна очень масштабная цель для киберпреступников. В группу компаний входят 62 предприятия с общим числом сотрудников порядка 3500. Годовой доход цепочки оценивается в $180 миллионов.
Серверы и рабочие станции McMenamins были зашифрованы в ходе атаки. В результате персоналу пришлось отключить ИТ-системы, перестали работать кассы и терминалы, а также была недоступна корпоративная почта. Все это должно было остановить дальнейшее распространение заражения. По словам представителей компании, пока нет признаков того, что в ходе атаки были компрометированы или украдены данные пользователей. Но, тем не менее, организация работает вместе с ФБР и специализированной компанией по киберзащите, чтобы провести полное расследование.
Стоит отметить, что Conti — это серьезная угроза для современного бизнеса. С этой группировкой связывают более 400 успешных атак Ransomware, включая блокировку ювелирной фирмы Graff и ирландской системы здравоохранения Ireland's Health Service Executive (HSE).