Emotet вернулся, Lokibot по-прежнему активен — «Лаборатория Касперского» рассказывает об актуальных киберугрозах
Ландшафт киберугроз постоянно расширяется и усложняется, и «Лаборатория Касперского» постоянно находит новые тому подтверждения.
Новый загрузчик. В июне 2023 года исследователи «Лаборатории Касперского» обнаружили новый загрузчик. Ему было присвоено название DarkGate. Он обладает расширенными функциями по сравнению с обычными вредоносными программами такого типа. В числе возможностей DarkGate — скрытое VNC-подключение, обход работы средства защиты Microsoft Defender, умение красть историю браузера, обратный прокси, файловый менеджер, умение красть токены Discord. Цепочка заражения состоит из четырёх этапов. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).
Возвращение Emotet. В этом году вновь была замечена активность печально известного ботнета — впервые после его ликвидации в 2021 году. В новой волне атак злоумышленники использовали популярный вектор заражения — рассылали письма с вредоносными файлами OneNote. Если жертва открывает и пытается посмотреть вложение, она запускает выполнение вредоносного скрипта VBScript.
Новая кампания с использованием известного стилера. Также «Лаборатория Касперского» обнаружила фишинговую кампанию, нацеленную на организации, занимающиеся морскими перевозками грузов. В ходе кампании злоумышленники внедряли Lokibot. Этот инфостилер был впервые обнаружен в 2016 году. Он предназначен для кражи учётных данных из разных приложений, в том числе браузеров и FTP-клиентов. Электронные письма, рассылаемые в рамках данной атаки, содержали Excel-файл, в котором пользователям предлагалось включить макросы. Злоумышленники использовали известную уязвимость в Microsoft Office (CVE-2017-0199), которая ведёт к загрузке RTF-документа. Этот RTF-документ затем использует другую уязвимость (CVE-2017-11882), чтобы загрузить и запустить LokiBot.
«Возрождение Emotet и продолжающееся использование Lokibot, как и появление DarkGate, — это серьёзное напоминание о постоянно развивающихся киберугрозах, с которыми мы сталкиваемся. Злоумышленники всё время усложняют методы заражения, и организациям бывает трудно определить, от каких киберугроз следует защищаться в первую очередь. В этом помогают отчёты о новейших тактиках, методах и процедурах атакующих», — комментирует Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».
Узнать больше о новых методах заражения можно в отдельном отчёте.
Чтобы защитить компанию от кибератак, специалисты «Лаборатории Касперского» рекомендуют:
- регулярно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
- ввести политику создания надёжных паролей к корпоративным сервисам и их регулярной смены и следить за её соблюдением;
- установить мультифакторную аутентификацию для доступа к удалённым сервисам;
- внедрить надёжное решение, такое как Kaspersky Security для бизнеса, в котором есть модуль поведенческого детектирования и контроля аномалий для эффективной защиты от известных и неизвестных угроз;
- внедрить EDR-решение и сервис, который умеет распознавать и останавливать атаки на ранней стадии, до того как злоумышленники нанесут существенный урон, такой как Kaspersky Managed Detection and Response.