ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — детальный анализ усиления атак группировки Head Mare на российские компании, разбор новой фишинговой кампании Cloud Atlas, исследование вредоносной кампании с использованием кроссплатформенного трояна, обзор новой вредоносной операции «Цифровой глаз», и глубокий технический разбор нового Linux-руткита Pumakit.

Группировка Head Mare усиливает атаки на компании из России

Исследовательская и разведывательная лаборатория Cyble выявила кампанию группировки Head Mare. Целями группировки являются российские компании из различных отраслей, включая правительство, транспорт, энергетику, производство и развлечения. Обычно первоначальным этапом атаки является фишинговое сообщение с ZIP-архивом. Образец включает в себя вредоносный файл LNK и поврежденные PDF-документы, которые запускают PowerShell-команды для извлечения исполняемого файла. Вредоносное ПО устанавливает соединение с командным сервером и собирает информацию о жертве, отправляя ее злоумышленникам. Специалисты отметили, что одной из функций вредоносной программы является выполнение произвольных команд на зараженных устройствах, что представляет серьезную угрозу безопасности. Эксперты порекомендовали проводить обучение пользователей, реализовать защиту конечных устройств, организовать мониторинг сети и регулярно выполнять обновления для снижения рисков компрометации.

Обзор на новую фишинговую кампанию группировки Cloud Atlas

Специалисты Positive Technologies провели анализ новой фишинговой кампании, связанной с группировкой Cloud Atlas. В ходе расследования было выявлено, что основными целями атак являлись сотрудники государственных организаций России и Белоруссии. Злоумышленники использовали word-документы c запросами, которые были оформлены как официальные обращения о предоставлении информации. Отправляемые файлы содержали ссылку на вредоносный шаблон, который эксплуатировал уязвимость в редакторе формул Microsoft Equation, что позволяло запускать скрипты, управляемые командным сервером. В результате этого на целевые устройства жертв доставлялись инструменты для дальнейшего развития атаки, включая бэкдор PowerShower. Исследователи отметили, что вредоносное ПО, используемое данной группировкой, продолжает совершенствоваться, и предоставили широкий набор индикаторов компрометации.

Вредоносная кампания с использованием кроссплатформенного трояна

Эксперты Dr.Web в рамках разбора вредоносной кампании выявили следы нового кроссплатформенного трояна удаленного доступа Trojan.Siggen28.58279 и два руткита. Одной из особенностей трояна является поддержка ряда технологий туннелирования трафика, что позволяет ему связываться со злоумышленниками из приватных сегментов сети и маскировать передачу команд. Также ключевым фактором кампании стало применение трояна в составе фреймворка для постэксплуатации, то есть комплекса ПО, применяемого на дальнейших этапах атаки после получения доступа к компьютеру. Исследователи отметили, что цепочка заражения начинается со сбора системной информации, проверки враждебности среды и загрузки настроек вредоносного ПО из интернета, например из репозиториев GitLab или GitHub. По результатам расследования все выявленные угрозы были добавлены в базы Dr.Web, а в алгоритмы эвристика были внесены признаки вредоносных eBPF-программ.

Операция «Цифровой глаз» — новая вредоносная кампания

Специалисты SentinelLabs обнаружили новую вредоносную кампанию под названием «Операция "Цифровой глаз"». Ее жертвами стали организации из Европы, предоставляющие решения по управлению данными, инфраструктурой и информационной безопасностью. Исследователи отметили, что основной особенностью этой кампании является использование Visual Studio Code Remote Tunnels. Используя данный инструмент разработки, злоумышленники тщательно скрывали свои вредоносные действия. Туннелированние VS Code включает исполняемые файлы, подписанные Microsoft и сетевой инфраструктурой Microsoft Azure. Такие файлы часто не отслеживаются и обычно разрешены элементами управления приложениями и правилами брандмауэра, чем часто пользуются злоумышленники. Специалисты отметили, что есть высокая вероятность подобных атак, и предоставили выявленные в процессе анализа индикаторы компрометации.

Разбор нового Linux-руткита Pumakit

Исследователи Elastic Security обнаружили новый вредоносный руткит для Linux под названием Pumakit. Pumakit представляет собой многокомпонентный набор, состоящий из исполняемых в памяти файлов, дроппера и руткита модуля ядра. Руткит выполняет активацию, проверяя определенные символы ядра, статус безопасной загрузки и другие предварительные условия перед загрузкой. Вредоносное ПО скрывает свое присутствие от журналов ядра, системных инструментов и антивирусов, а также может прятать определенные файлы в каталоге и объекты из списков процессов. Эксперты отметили, что продолжат анализировать поведение Pumakit и его любые обновления или новые варианты, а также предоставили индикаторы компрометации для проверки.