spot_img
22 ноября, 2024
ДомойSoftwareКибербезопасностьEmotet вернулся, Lokibot по-прежнему активен - «Лаборатория Касперского» рассказывает об актуальных киберугрозах

Emotet вернулся, Lokibot по-прежнему активен — «Лаборатория Касперского» рассказывает об актуальных киберугрозах

Ландшафт киберугроз постоянно расширяется и усложняется, и «Лаборатория Касперского» постоянно находит новые тому подтверждения.

Новый загрузчик. В июне 2023 года исследователи «Лаборатории Касперского» обнаружили новый загрузчик. Ему было присвоено название DarkGate. Он обладает расширенными функциями по сравнению с обычными вредоносными программами такого типа. В числе возможностей DarkGate — скрытое VNC-подключение, обход работы средства защиты Microsoft Defender, умение красть историю браузера, обратный прокси, файловый менеджер, умение красть токены Discord. Цепочка заражения состоит из четырёх этапов. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).

Возвращение Emotet.  В этом году вновь была замечена активность печально известного ботнета — впервые после его ликвидации в 2021 году. В новой волне атак злоумышленники использовали популярный вектор заражения — рассылали письма с вредоносными файлами OneNote. Если жертва открывает и пытается посмотреть вложение, она запускает выполнение вредоносного скрипта VBScript.

Новая кампания с использованием известного стилера. Также «Лаборатория Касперского» обнаружила фишинговую кампанию, нацеленную на организации, занимающиеся морскими перевозками грузов. В ходе кампании злоумышленники внедряли Lokibot. Этот инфостилер был впервые обнаружен в 2016 году. Он предназначен для кражи учётных данных из разных приложений, в том числе браузеров и FTP-клиентов. Электронные письма, рассылаемые в рамках данной атаки, содержали Excel-файл, в котором пользователям предлагалось включить макросы. Злоумышленники использовали известную уязвимость в Microsoft Office (CVE-2017-0199), которая ведёт к загрузке RTF-документа. Этот RTF-документ затем использует другую уязвимость (CVE-2017-11882), чтобы загрузить и запустить LokiBot.

«Возрождение Emotet и продолжающееся использование Lokibot, как и появление DarkGate, — это серьёзное напоминание о постоянно развивающихся киберугрозах, с которыми мы сталкиваемся. Злоумышленники всё время усложняют методы заражения, и организациям бывает трудно определить, от каких киберугроз следует защищаться в первую очередь. В этом помогают отчёты о новейших тактиках, методах и процедурах атакующих», — комментирует Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».

Узнать больше о новых методах заражения можно в отдельном отчёте.

Чтобы защитить компанию от кибератак, специалисты «Лаборатории Касперского» рекомендуют:

  1. регулярно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
  2. ввести политику создания надёжных паролей к корпоративным сервисам и их регулярной смены и следить за её соблюдением;
  3. установить мультифакторную аутентификацию для доступа к удалённым сервисам;
  4. внедрить надёжное решение, такое как Kaspersky Security для бизнеса, в котором есть модуль поведенческого детектирования и контроля аномалий для эффективной защиты от известных и неизвестных угроз;
  5. внедрить EDR-решение и сервис, который умеет распознавать и останавливать атаки на ранней стадии, до того как злоумышленники нанесут существенный урон, такой как Kaspersky Managed Detection and Response.

 

НОВОСТИ ПО ТЕМЕ

СОЦИАЛЬНЫЕ СЕТИ

11,990ФанатыМне нравится
1,015ЧитателиЧитать
3,086ЧитателиЧитать
714ПодписчикиПодписаться
- Реклама -