Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомИграйте в атаки программ-вымогателей, используя новые специальные инструменты
Исследователи обнаружили два новых специальных инструмента, которые используются в атаках программ-вымогателей Play, поскольку различные злоумышленники все чаще используют собственные инструменты, чтобы получить конкурентное преимущество и лучше адаптировать свои атаки к среде жертв.
Команда охотников за угрозами Symantec обнаружила группу, стоящую за программой-вымогателем Play, с помощью специального инструмента сетевого сканирования Grixba, позволяющего идентифицировать все компьютеры и пользователей в домене, а также исполняемого файла .NET, который позволяет злоумышленникам копировать файлы из службы теневого копирования томов (VSS). которые обычно заблокированы операционной системой.
«Использование проприетарных инструментов… дает операторам программ-вымогателей больший контроль над своими операциями», — заявили исследователи в анализе, проведенном в среду. «Если инструмент широко доступен, он может быть переработан или адаптирован другими злоумышленниками, что потенциально ослабляет эффективность первоначальной атаки. Сохраняя свои инструменты проприетарными и эксклюзивными, банды программ-вымогателей могут сохранить свое конкурентное преимущество и максимизировать свою прибыль».
Группа Balloonfly, разрабатывающая программу-вымогатель Play, запущенную в июне 2022 года, провела несколько двойных атак с вымогательством, в том числе недавнюю кибератаку на город Окленд, Калифорния. Ранее группа преследовала уязвимости Microsoft Exchange, такие как несанкционированное повышение привилегий. ошибка (CVE-2022-41080) и ошибка удаленного выполнения кода (CVE-2022-41082).
Похоже, что группа не использует Play как программу-вымогатель как услугу, а ее специальные инструменты, обнаруженные на этой неделе, могут дать ей конкурентное преимущество перед другими группами. Оба инструмента Balloonfly разработали с использованием популярного инструмента разработки .NET под названием Costura, который позволяет пользователям встраивать зависимости приложений в один исполняемый файл.
«Сохраняя свои инструменты запатентованными и эксклюзивными, банды вымогателей могут сохранить свое конкурентное преимущество и максимизировать свою прибыль».
Информационный вор .NET Grixba проверяет и перечисляет программное обеспечение, инструменты удаленного администрирования, несколько программ безопасности и многое другое, а также собирает эту информацию для кражи. Другой инструмент использует библиотеку AlphaVSS — платформу .NET для взаимодействия с VSS — для копирования файлов из снимков VSS перед шифрованием.
Все больше групп отходят от общедоступных инструментов или простых скриптов и вместо этого используют полностью настраиваемые инструменты, в том числе инструмент для кражи данных Exmatter, использованный в нескольких атаках вымогателей BlackMatter в 2021 году, специальный инструмент для кражи данных Exbyte, разработанный в прошлом году компанией BlackByte, и инструмент на основе PowerShell. инструмент, используемый Vice Society.
Подобные специальные инструменты эксфильтрации повышают скорость атак, но, как показывают специальные инструменты для вымогателей Play, они также могут повысить сложность и возможности атак, сказал Дик О'Брайен, главный аналитик разведки группы Symantec по борьбе с угрозами.
«Вполне возможно, что атаки становятся все более сложными, что требует автоматизации некоторых шагов», — сказал О'Брайен. «Мы не уверены, что злоумышленники стали бы делать такие вещи, как копирование заблокированных файлов, несколько лет назад».
Помимо инструментов эксфильтрации, злоумышленники разрабатывают другие типы наборов инструментов, чтобы расширить цепочку атак и усложнить свои атаки. Например, с 2022 года подгруппа известного иранского субъекта APT35 использует два специальных имплантата, чтобы выжить в скомпрометированных средах, избежать обнаружения и развернуть вредоносное ПО второй стадии.
«В некотором смысле это может быть положительным знаком, поскольку это говорит о том, что злоумышленники чувствуют накал страстей и слишком много атак раскрываются, прежде чем они могут быть завершены», - сказал О'Брайен. «Мы также видим, что злоумышленники прилагают больше усилий, пытаясь отключить защитное программное обеспечение, что также говорит о том, что они чаще попадают в тупик».
Операторы вредоносного ПО Qakbot снова изменили тактику, чтобы адаптироваться к изменениям в системе защиты.
Новая крыса, известная как SeroXen, продается на форумах и в социальных сетях, она способна уклоняться от EDR и обеспечивает...