Сегодня в ТОП-5 — удар бэкдора Loki по российским компаниям, нацеленные на серверы IIS атаки DragonRank, применение инструментов Kaspersky для отключения EDR, использование серверов Oracle WebLogic для майнинга и DDoS-атак, новые атаки Earth Preta APT.
Loki. Неизвестный бэкдор ударил по российским компаниям
В июле 2024 года эксперты из «Лаборатории Касперского» обнаружили новый бэкдор Loki, применяемый в целевых атаках на российские компании. Он представляет собой приватную версию агента для открытого фреймворка Mythic. Более десяти компаний из разных сфер, включая машиностроение и медицину, стали жертвами этих атак. Loki наследует некоторые возможности от другого фреймворка, Havoc, включая техники, затрудняющие анализ, такие как шифрование кода в памяти. После активации загрузчик Loki формирует пакет с данными о зараженной системе и отправляет его на командный сервер в зашифрованном виде. В ответ сервер предоставляет DLL, которую загрузчик устанавливает в память устройства для дальнейшей обработки команд. Вредоносные документы маскировались под различные типы файлов, включая официальные письма и формы обновлений. Советуем сохранять бдительность и обучать сотрудников борьбе с социальной инженерией.
Атаки DragonRank ориентированы на серверы IIS
Специалисты из Cisco Talos обнаружили новую кибератаку, которая получила название DragonRank. Атака нацелена на манипуляцию результатами поисковых систем, используя серверы IIS. Злоумышленники эксплуатируют уязвимости веб-приложений PhpMyAdmin и WordPress для взлома серверов и внедрения вредоносного ПО. Внедренный вирус BadIIS модифицирует содержимое сайтов, чтобы обмануть алгоритмы поисковых систем и повысить рейтинг мошеннических ресурсов. Основной целью является создание фальшивого рейтинга для продвижения различных сайтов, в том числе с контентом для взрослых. BadIIS может маскироваться под Googlebot, что позволяет ему обходить механизмы безопасности. Злоумышленники также активно используют различные утилиты для кражи учетных данных пользователей и инструменты для сохранения контроля над зараженными системами. Специалисты призывают компании следить за безопасностью своих веб-приложений.
Атака RansomHub использует инструменты Kaspersky для отключения EDR
Аналитики Malwarebytes сообщили, что RansomHub использует легитимный инструмент TDSSKiller от «Лаборатории Касперского» для отключения EDR-служб в целевых системах. TDSSKiller изначально предназначался для лечения систем от руткитов, но теперь злоумышленники используют его для взаимодействия со службами на уровне ядра. Злоумышленники применяют TDSSKiller перед запуском легкодетектируемых программ. Поскольку это легитимный инструмент, его действия не вызывают подозрений у систем защиты. После этого злоумышленники применяют инструмент LaZagne для извлечения учетных данных. Хотя LaZagne легко обнаружить, его деятельность удается скрыть благодаря деактивации средств защиты с помощью TDSSKiller. Специалисты рекомендуют активировать защиту от несанкционированного доступа в EDR-решениях, чтобы предотвратить отключение защиты злоумышленниками.
Hadooken использует серверы Oracle WebLogic для майнинга и DDoS-атак
Исследователи Aqua Security обнаружили атаку на свой honeypot сервера Oracle WebLogic, которая заражает их новым ВПО Hadooken. В результате атаки вирус запускает майнеры и подключает устройство к ботнету Tsunami для проведения DDoS-атаки. Вирус также может осуществить запуск программ-вымогателей на системах Windows. После проникновения злоумышленники загружают скрипты, которые устанавливают Hadooken и ищут SSH-данные для дальнейшего распространения ВПО. После чего сервер очищает журналы, что затрудняет обнаружение. Компания рекомендует организациям использовать инструменты управления состоянием облачной безопасности и инструменты безопасности Kubernetes для смягчения таких угроз.
Новые атаки Earth Preta APT
Специалисты Trend Micro сообщают, что хакерская группировка Earth Preta активизировала атаки, обновив свои методы и используя новые вредоносные программы. Одним из ключевых инструментов стал модифицированный червь HIUPAN, который распространяется через съемные носители и устанавливает вредоносную программу PUBLOAD для контроля зараженных устройств. HIUPAN начинает атаку, передавая файлы на носитель, который затем запускает заражение при подключении к новому устройству. PUBLOAD собирает системную информацию и составляет карту сети с использованием стандартных утилит Windows. Также используются дополнительные инструменты: FDMTP для загрузки вредоносного ПО и PTSOCKET для передачи файлов на удаленные серверы. Недавние атаки также включали фишинг, с помощью которого жертвам рассылали вредоносные ссылки, ведущие к загрузчику DOWNBAIT и бэкдору PlugX для длительного доступа к системам. Эксперты подчеркивают необходимость постоянной бдительности и активного обновления защитных мер для противодействия новым и адаптивным методам злоумышленников.
Источник: habr.com
