Атакующие используют ранее неизвестный загрузчик вредоносного ПО
Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) обнаружили новую сложную вредоносную кампанию — StrikeShark. Злоумышленники проникли в ряд организаций по всему миру, в том числе на Тайване, в Индонезии, Гонконге, Ливане, Сирии, Колумбии, Северной Македонии, Непале и Сербии. Для этого атакующие использовали ранее неизвестный загрузчик вредоносного ПО — SharkLoader. На данный момент «Лаборатория Касперского» не связывает эту кампанию с какой-либо известной группой и продолжает отслеживать её активность.
Как происходит заражение. Для первичного заражения использовались различные тактики. В частности, злоумышленники эксплуатировали уязвимости в приложениях, подключённых к интернету, таких как Microsoft Exchange, Microsoft SharePoint и Openfire. В других случаях применялись вредоносные дропперы, замаскированные под легальное программное обеспечение, например под установщики Google Update или Cisco AnyConnect либо даже под фишинговые PDF-документы, чтобы обманом заставить пользователей скачать вредоносное ПО.
Многоэтапный процесс заражения. Техническая сложность SharkLoader свидетельствует о высоком уровне квалификации злоумышленников. Заражение начинается с эксплуатации уязвимости или установки дроппера — в том числе под видом легитимного приложения. Затем применяется боковая загрузка DLL-файлов с помощью различных легитимных приложений Windows для загрузки зашифрованных вредоносных модулей. Эти модули расшифровывают и рефлексивно загружают дополнительные компоненты, предназначенные для установки API-хуков с целью обхода механизмов обнаружения и, в конечном счёте, для внедрения и запуска Cobalt Strike Beacon — легитимного инструмента для тестирования на проникновение. Злоумышленники часто используют его для управления и контроля, разведки, перемещения по сети и вывода данных из скомпрометированных систем.
«Кампания StrikeShark отражает изменения в ландшафте киберугроз. Злоумышленники сочетают легкодоступные инструменты атак с индивидуально разработанным вредоносным ПО и передовыми методами обхода защиты. Использование приманок, выглядящих как легитимные ресурсы, и эксплуатация известных уязвимостей подчёркивают острую необходимость для организаций обеспечивать тщательное управление исправлениями, эффективное обнаружение и реагирование на угрозы на конечных устройствах, а также проводить всестороннее обучение сотрудников по вопросам информационной безопасности», — комментирует Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.
Для обеспечения защиты «Лаборатория Касперского» рекомендует:
· регулярно обновлять все приложения, чтобы устранять известные уязвимости;
· использовать проверенные защитные решения для обнаружения и блокировки дропперов вредоносного ПО;
· обучать сотрудников навыкам цифровой грамотности, чтобы минимизировать риски атак с использованием методов социальной инженерии, в том числе фишинга; в этом помогут специализированные курсы или тренинги, например Kaspersky Automated Security Awareness Platform;
· применять комплексное решение для защиты, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Талантливые профессионалы в сфере кибербезопасности играют ведущую роль в исследовании вредоносного ПО и создании инновационных методов борьбы с ним. Их богатый опыт, мотивация и любознательность способствуют эффективному обнаружению и анализу киберугроз.
