Сложная хакерская кампания Storm-0408: угроза утечки данных
В последние месяцы в области кибербезопасности была выявлена сложная хакерская кампания под названием Storm-0408. Данная угроза представляет собой множественные механизмы доставки вредоносных программ, размещенных на GitHub, и использует их для проникновения на устройства пользователей.
Стратегия атаки
Хакеры, участвующие в этой кампании, применяют многоступенчатые системы доставки, которые устраняют различные полезные нагрузки второго и третьего этапов. Главное внимание уделяется кражам информации. Основные этапы атаки включают:
- Первоначальный доступ: Это достигается через перенаправления с нелегальных потоковых сайтов с использованием вредоносной рекламы. Пользователи проходят через несколько уровней перенаправлений, в итоге оказываясь на GitHub.
- Полезная нагрузка первой ступени: Работает как отправитель для последующих полезных нагрузок, чаще всего включает инфокрады, такие как Lumma и обновлённая версия Doerium.
Технические детали
Для реализации вредоносных действий используются скрипты, написанные на языках, таких как PowerShell, JavaScript, VBScript и AutoIt. Хакеры также применяют автономные двоичные файлы (LOLBA), такие как PowerShell.exe и MSBuild.exe, которые позволяют обходить традиционные механизмы обнаружения.
Сбор информации и дальнейшие действия
После выполнения полезной нагрузки второго этапа, осуществляется сбор информации о системе, такой как:
- Сведения об операционной системе
- Объём памяти
- Спецификации видеокарты
Эта информация передаётся на серверы управления и контроля (C2) по протоколу HTTP. Полезная нагрузка третьего этапа может варьироваться, но чаще всего включает развертывание дополнительных вредоносных программ или дальнейшую фильтрацию данных.
Например, одна из наблюдаемых полезных нагрузок подключается к средству удаленного доступа (RAT), известному как NetSupport, обеспечивая дополнительный контроль над скомпрометированным устройством и собирая конфиденциальные пользовательские данные, включая учетные данные браузера.
Риски и меры безопасности
Данная схема развертывания вредоносного ПО вызывает серьезные опасения, особенно в свете рисков утечки данных и кражи финансовой информации, в том числе данных о криптовалютных кошельках. Хакеры применяют методы постоянного мониторинга, включая:
- Захват экрана
- Регистрация нажатий клавиш
- Прямое взаимодействие с экземплярами браузера
Рекомендации для организаций
Организациям, подвергающимся угрозам от таких кампаний, рекомендуется внедрить следующие меры безопасности:
- Строгие меры защиты личных данных
- Использование многофакторной аутентификации
- Мониторинг подозрительных действий, связанных с известными угрозами
- Настройка систем безопасности конечных точек для блокировки потенциально вредоносных действий
Кроме того, пакет Microsoft Defender Suite содержит соответствующие сигнатуры обнаружения и запросы, помогающие организациям выявлять потенциально уязвимые системы и вредоносную активность, связанную с кампанией Storm-0408.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
