СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
01.04.2025
#ИБ#Инфра

Атака через фальшивый установщик: угроза кибербезопасности 2024

Атака через фальшивый установщик: угроза кибербезопасности 2024

Источник: thedfirreport.com

В мае 2024 года произошел значительный инцидент в сфере кибербезопасности, когда хакер реализовал сложную атаку, используя поддельный установщик Zoom. Атакующий внедрил вредоносную программу через клонированный веб-сайт, что выявляет новые угрозы для пользователей и организации.

Краткий обзор атаки

Основные этапы кибератаки:

  • Использование поддельного установщика, созданного с помощью Inno Setup.
  • Запуск загрузчика d3f@ckloader, который внедрял последующие загрузки.
  • Создание исключений для Защитника Windows и подключение к страницам сообщества Steam.
  • Инсталляция вредоносного ПО SectopRAT и активация дополнительных устройств.

Подробности выполнения атаки

После девяти дней работы вредоносная программа SectopRAT активировала дополнительные полезные приложения, среди которых:

  • Платформа Brute Ratel (Badger).
  • Маяк Cobalt Strike beacon.

Эти инструменты позволили злоумышленнику выполнять различные команды для разведки в сети и осуществлять горизонтальные перемещения по различным сервисам. Используя Cobalt Strike framework, хакер установил точки подключения, что в конечном итоге привело к доступу к контроллеру домена через протокол RDP.

Ключевые инструменты и техники

В ходе атаки был использован QDoor — вредоносная программа с функциональностью прокси-сервера, что дало возможность туннелировать RDP-трафик через скомпрометированные серверы. Затем злоумышленник развернул программу-вымогатель BlackSuit с помощью утилиты PsExec:

  • Распространение программы на удаленные хосты.
  • Удаление теневых копий томов для усложнения восстановления.
  • Шифрование файлов и оставление записки с требованием выкупа.

Методы уклонения и координации

Атакующий применил ряд методов уклонения, создавая скрытые атрибуты для файлов и каталогов. Использование шаблонов сетевого трафика, связанных с Cobalt Strike и SectopRAT, позволило передавать команды и сохранять контроль над выполнением атаки. Также хакер использовал множество каналов C2, демонстрируя сложность координации своих действий.

Заключение

Общий срок, предшествовавший развертыванию программы-вымогателя, составил более 194 часов. Это свидетельствует о высоком уровне планирования и исполнения атакующих действий, что подчеркивает необходимость повышенной бдительности как со стороны пользователей, так и системы кибербезопасности организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: