Идёт сложная вредоносная кампания, нацеленная на организации в Азии, Латинской Америке и Европе

Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) обнаружили новую сложную вредоносную кампанию — StrikeShark. Злоумышленники проникли в ряд организаций по всему миру, в том числе на Тайване, в Индонезии, Гонконге, Ливане, Сирии, Колумбии, Северной Македонии, Непале и Сербии. Для этого атакующие использовали ранее неизвестный загрузчик вредоносного ПО — SharkLoader. На данный момент «Лаборатория Касперского» не связывает эту кампанию с какой-либо известной группой и продолжает отслеживать её активность.

Как происходит заражение. Для первичного заражения использовались различные тактики. В частности, злоумышленники эксплуатировали уязвимости в приложениях, подключённых к интернету, таких как Microsoft Exchange, Microsoft SharePoint и Openfire. В других случаях применялись вредоносные дропперы, замаскированные под легальное программное обеспечение, например под установщики Google Update или Cisco AnyConnect либо даже под фишинговые PDF-документы, чтобы обманом заставить пользователей скачать вредоносное ПО.

Многоэтапный процесс заражения. Техническая сложность SharkLoader свидетельствует о высоком уровне квалификации злоумышленников. Заражение начинается с эксплуатации уязвимости или установки дроппера — в том числе под видом легитимного приложения. Затем применяется боковая загрузка DLL-файлов с помощью различных легитимных приложений Windows для загрузки зашифрованных вредоносных модулей. Эти модули расшифровывают и рефлексивно загружают дополнительные компоненты, предназначенные для установки API-хуков с целью обхода механизмов обнаружения и, в конечном счёте, для внедрения и запуска Cobalt Strike Beacon — легитимного инструмента для тестирования на проникновение. Злоумышленники часто используют его для управления и контроля, разведки, перемещения по сети и вывода данных из скомпрометированных систем.

«Кампания StrikeShark отражает изменения в ландшафте киберугроз. Злоумышленники сочетают легкодоступные инструменты атак с индивидуально разработанным вредоносным ПО и передовыми методами обхода защиты. Использование приманок, выглядящих как легитимные ресурсы, и эксплуатация известных уязвимостей подчёркивают острую необходимость для организаций обеспечивать тщательное управление исправлениями, эффективное обнаружение и реагирование на угрозы на конечных устройствах, а также проводить всестороннее обучение сотрудников по вопросам информационной безопасности», — комментирует Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.

Для обеспечения защиты «Лаборатория Касперского» рекомендует:

• регулярно обновлять все приложения, чтобы устранять известные уязвимости;
• использовать проверенные защитные решения для обнаружения и блокировки дропперов вредоносного ПО;
• обучать сотрудников навыкам цифровой грамотности, чтобы минимизировать риски атак с использованием методов социальной инженерии, в том числе фишинга; в этом помогут специализированные курсы или тренинги, например Kaspersky Automated Security Awareness Platform;
• применять комплексное решение для защиты, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли.