СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.05.2025
#ИБ

Кибератака Lampion: новая угроза для португальских организаций

Кибератака Lampion: новая угроза для португальских организаций

Источник: unit42.paloaltonetworks.com

Недавнее сообщение подразделения 42 о кибератаке под кодовым названием «Лампион» привлекло внимание к использованию *вредоносного ПО Lampion* для нацеливания на португальские организации. В первую очередь, атаки затрагивают государственный сектор, финансы и транспорт, что вызывает серьезные опасения у специалистов по кибербезопасности.

Тактика ClickFix: Манипуляция Жертвами

Кампания «Лампион» продемонстрировала новую тактику социальной инженерии, известную как *ClickFix*. Это направлено на манипуляцию жертвами для выполнения вредоносных команд под предлогом устранения неполадок. Методы ClickFix начали внедряться в различные семейства вредоносных программ с конца 2024 года.

Цепочка Атак

Цепочка атак начинается с фишингового электронного письма, которое содержит вредоносный ZIP-файл. После извлечения файла жертва перенаправляется на поддельный веб-сайт португальской налоговой службы, где ей предлагается:

  • Скопировать и запустить вредоносную команду PowerShell, замаскированную под законное действие;
  • Неосознанно запустить процесс заражения.

Ключевым элементом подхода ClickFix является убеждение жертв выполнять вредоносные скрипты, что может компрометировать их системы. Последующие этапы заражения включают сложные скрипты *Visual Basic*, которые усложняют обнаружение атаки.

Методы Скрытия Вредоносного Кода

Характерный стиль атак «Лампион» включает:

  • Использование методов обфускации для сокрытия вредоносного кода;
  • Разделение инфекции на фазы, каждая из которых может восприниматься как безобидная;
  • Применение косвенных методов выполнения и запланированных задач для задержки выполнения, оставаясь необнаруженными.

Рекомендации по Безопасности

Специалистам по безопасности рекомендуется повысить осведомленность и внедрить упреждающие меры безопасности, такие как:

  • Мониторинг действий PowerShell;
  • Отслеживание данных буфера обмена.

Использование комментариев в скриптах может указывать на потенциальные просчеты злоумышленников, создавая возможность для обнаружения незавершенных элементов операций. Это может быть либо ошибкой, либо тестированием новых атак.

Заключение

Кампания «Лампион» подчеркивает изменения в методах атак, базируясь на использовании социальных инженерных тактик и традиционных стратегиях вредоносного ПО. Расширенные возможности обнаружения крайне важны для выявления этих сложных угроз и снижения рисков для организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: