Модульный банковский троянец IcedID, впервые замеченный в 2017 г., обрел «второе дыхание» в конце марта 2022 г. Как выяснили эксперты компании Intezer, операторы троянца стали вклиниваться в электронную переписку на серверах Microsoft Exchange и подгружать в нее малозаметные вредоносные компоненты. Фальшивые письма с вредоносными вложениями выглядят как нечто релевантное обсуждаемой теме, так что шанс пострадать у участников дискуссии немало.
Для успешной атаки злоумышленникам требуется сначала получить контроль над почтовым аккаунтом, который участвует в той же переписке, что и потенциальная жертва.
Судя по всему, злоумышленники использовали уязвимости в серверах Microsoft Exchange, чтобы выкрадывать реквизиты доступа к почтовым ящикам. Эксперты Intezer отметили, что многие скомпрометированные серверы были доступны из глобальной Сети, и что на них отсутствовали патчи против уязвимости ProxyShell. Вполне вероятно, именно она использовалась в качестве точки входа для первичного проникновения.
Кроме того, аналитики наблюдали множество вредоносных сообщений, отправленных из внутренних корпоративных серверов Exchange с использованием локальных IP-адресов внутри доверенных доменов. Это также использовалось злоумышленниками для маскировки.
Microsoft уже почти год назад выпустила исправления от ProxyLogon и ProxyShell; системным администраторам настоятельно рекомендуется накатить их, если это еще не сделано, чтобы снизить степень ненужного риска.
Общая структура атаки выглядела следующим образом. Злоумышленники вбрасывали в скомпрометированную переписку ZIP-архив, который содержал файл ISO. В нем скрывались файлы LNK (якобы документ) и DLL. При попытке открытия документа запускалось системное приложение regsvr32.exe для активации DLL-файла и запуска загрузчика IcedID GZiploader. Тот хранится в зашифрованном виде в самом DLL-файле; после вычленения GZiploader загружается непосредственно в память устройства.
Этот вредонос собирает базовые данные о зараженной системе и отправляет их на контрольный сервер, откуда, по-видимому, закачиваются дополнительные вредоносные модули.
Кампания продолжается до сих пор. Когда именно она началась, остается пока неизвестным.
Издание Bleeping Computer указывает, что в ноябре 2021 г. Trend Micro описывала волну атак, использовавших уязвимости ProxyShell и ProxyLogon в серверах Microsoft Exchange. Их целью также было вторжение в чужие переписки и подгрузка в них вредоносных документов.
Предположительным оператором той кампании была группировка TR, про которую известно, что она использует множество разных вредоносных инструментов, включая Qbot, IcedID и Squirrel Waffle. Все эти вредоносы были задействованы в аналогичных атаках на электронную переписку.
Со своей стороны, в Intezer полагают, что нынешняя волна атак исходит от другой группировки — TA551. По мнению экспертов, на ее причастность указывает использование regsvr32.exe для запуска DLL и защищенных ZIP-файлов. Есть ли какая-то связь между TR и TA551, пока не ясно.
«Прямой связи может и не быть, злоумышленники и кибершпионы активно отслеживают деятельность друг друга и перенимают успешные методы и инструментарий, — говорит Алексей Водясов, технический директор компании SEQ. — Метод внедрения вредоносов в обширную почтовую переписку раз за разом доказывает свою эффективность. Ключевой, однако, является проблема незащищенных серверов Exchange: своевременная установка патчей и файерволлов помогла бы не допустить многих проблем».
DeFi-протокол Kelp DAO сообщил о подозрительной cross-chain активности с rsETH и остановил контракты токена в основной сети Ethereum и нескольких L2.
Исследователи обнаружили кампанию FakeWallet, в рамках которой в App Store размещались фишинговые iOS-приложения, маскирующиеся под популярные криптокошельки.
Исследователи описали ZionSiphon - OT-вредонос, ориентированный на объекты водоочистки и опреснения в Израиле.
21 апреля в РТУ МИРЭА прошло годовое собрание Ассоциации разработчиков программных продуктов «Отечественный софт».
Исследователи из НИЯУ МИФИ разработали инновационную архитектуру нейросети MambaShield, способную сохранять высокую точность работы даже в условиях целенаправленных кибератак на обучающие выборки.
«Лаборатория Касперского» выявила новую хакерскую группу — Geo Likho: по данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники совершают сложные целевые атаки на российские организации из различных сфер ради кибершпионажа.
Исследователи обнаружили новую версию Android-малвари NGate, которая теперь маскируется не под банковский троян, а под модифицированное легитимное NFC-приложение HandyPay.
Французское агентство France Titres, ранее ANTS, подтвердило инцидент безопасности на портале ants.
Российский разработчик технологий кибербезопасности F6 предупредил о распространении опасного инфостилера WeedHack, замаскированного под популярные модификации для Minecraft.
ПАО «ВымпелКом» и ОАО «РЖД» совместно с разработчиком высокотехнологичных средств защиты информации, компанией «ИнфоТеКС», провели успешные пилотные испытания технологии квантового распределения ключей для организации высокозащищенной корпоративной сети.
