- 27,782
- 46
- 8 Ноя 2022
StrikeShark атакует по всему миру, а кто за этим стоит — загадка.
«Лаборатория Касперского» выявила вредоносную кампанию StrikeShark, нацеленную на организации в Азии, Латинской Америке и Европе. Атакующие уже проникли в сети компаний на Тайване, в Индонезии, Гонконге, Ливане, Сирии, Колумбии, Северной Македонии, Непале и Сербии.
Для атак злоумышленники применяют ранее неизвестный загрузчик SharkLoader. Группировку пока не удалось связать с известными киберпреступными объединениями, специалисты продолжают отслеживать её активность.
Первый этап атаки начинается с эксплуатации уязвимостей в доступных из интернета Microsoft Exchange, Microsoft SharePoint и Openfire. В отдельных случаях преступники распространяют вредоносные программы под видом установщиков Google Update, Cisco AnyConnect или PDF-документов, чтобы жертва самостоятельно запустила заражённый файл.
После проникновения SharkLoader запускает доверенные программы Windows, которые загружают зашифрованные вредоносные библиотеки DLL. Модули расшифровывают дополнительные компоненты и запускают код прямо в памяти, не сохраняя его в виде обычного файла на диске. Затем вредоносная программа перехватывает обращения приложений к функциям операционной системы, скрывает активность от защитных средств и запускает Cobalt Strike Beacon.
Cobalt Strike Beacon входит в легальный набор для тестирования защищённости, однако злоумышленники регулярно используют компонент для управления заражёнными устройствами, разведки внутри сети, перемещения между системами и кражи данных.
Специалисты отмечают, что StrikeShark сочетает известные способы взлома с собственным вредоносным ПО и методами обхода защиты. Организациям рекомендуют своевременно устанавливать обновления, контролировать подозрительную активность на рабочих устройствах и обучать сотрудников распознавать фишинговые приманки.
«Лаборатория Касперского» выявила вредоносную кампанию StrikeShark, нацеленную на организации в Азии, Латинской Америке и Европе. Атакующие уже проникли в сети компаний на Тайване, в Индонезии, Гонконге, Ливане, Сирии, Колумбии, Северной Македонии, Непале и Сербии.
Для атак злоумышленники применяют ранее неизвестный загрузчик SharkLoader. Группировку пока не удалось связать с известными киберпреступными объединениями, специалисты продолжают отслеживать её активность.
Первый этап атаки начинается с эксплуатации уязвимостей в доступных из интернета Microsoft Exchange, Microsoft SharePoint и Openfire. В отдельных случаях преступники распространяют вредоносные программы под видом установщиков Google Update, Cisco AnyConnect или PDF-документов, чтобы жертва самостоятельно запустила заражённый файл.
После проникновения SharkLoader запускает доверенные программы Windows, которые загружают зашифрованные вредоносные библиотеки DLL. Модули расшифровывают дополнительные компоненты и запускают код прямо в памяти, не сохраняя его в виде обычного файла на диске. Затем вредоносная программа перехватывает обращения приложений к функциям операционной системы, скрывает активность от защитных средств и запускает Cobalt Strike Beacon.
Cobalt Strike Beacon входит в легальный набор для тестирования защищённости, однако злоумышленники регулярно используют компонент для управления заражёнными устройствами, разведки внутри сети, перемещения между системами и кражи данных.
Специалисты отмечают, что StrikeShark сочетает известные способы взлома с собственным вредоносным ПО и методами обхода защиты. Организациям рекомендуют своевременно устанавливать обновления, контролировать подозрительную активность на рабочих устройствах и обучать сотрудников распознавать фишинговые приманки.
- Источник новости
- www.securitylab.ru
