Масштабная кибератака: новый SnakeLogger угрожает российским организациям

Масштабная кибератака: новый SnakeLogger угрожает российским организациям

Источник: bi.zone

Специалисты компании BI.ZONE обнаружили новую масштабную киберкампанию, которая нацелена на российские организации в различных отраслях. В центре внимания злоумышленников находится новая версия программы SnakeLogger stealer, известная как NOVA, которую можно арендовать всего за 50 долларов.

Методы атаки

Злоумышленники используют фишинговые электронные письма с вредоносными вложениями, замаскированными под файлы контрактов. Для успешной доставки вредоносного ПО они применяют стратегии, которые включают:

  • Использование популярных имен файлов;
  • Ориентацию на сотрудников, работающих с большим количеством электронных писем;
  • Скрытие вредоносного ПО под видом законных документов.

Эти тактики значительно повышают вероятность успешного выполнения атаки.

Технические детали вредоносного ПО

После запуска вредоносный файл извлекает скрытые данные с ресурса под именем zabawa2, дублирует себя в каталоге AppDataRoaming и использует PowerShell для обхода защиты Microsoft Defender, добавляя себя в список исключений. Для сохранения на скомпрометированных системах злоумышленники используют планировщик задач Windows, что позволяет программе незаметно запускаться и вводить свою полезную нагрузку.

Географический след и функции NOVA

Обращает на себя внимание наличие в коде вредоносного файла строк на польском языке, что указывает на потенциальное географическое происхождение злоумышленников. NOVA stealer обеспечивает:

  • Кражу учетных данных;
  • Регистрацию нажатий клавиш;
  • Захват экрана;
  • Извлечение данных из буфера обмена.

Программа также пытается отключить защитные системы, как Microsoft Defender и диспетчер задач.

Поддержка нападения

Кроме того, злоумышленники создали группу в Telegram для продвижения и поддержки NOVA stealer и связанными инструментами шифрования, предлагая различные планы подписки, включая ежемесячные и пожизненные платежи.

Рекомендации по безопасности

BI.ZONE рекомендует применять меры безопасности для защиты от киберугроз, включая:

  • Использование правил зоны безопасности EDR;
  • Защиту аутентификационных материалов;
  • Внедрение систем управления привилегированным доступом (PAM), таких как BI.ZONE PAM, которые поддерживают ротацию секретов и одноразовые пароли.

Выбор системы PAM, основанной на принципах единого входа, значительно повышает уровень безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: