Перейти к содержанию

Обнаружены новые атаки группировки RTM | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Наши эксперты обнаружили новую вредоносную кампанию, в ходе которой злоумышленники из группировки RTM применяют достаточно богатый арсенал инструментов. В ход идут и банковский троянец, и новый, до сих пор не встречавшийся нашим системам шифровальщик-вымогатель Quoter, и вполне легитимные программы для удаленного доступа (как минимум LiteManager и RMS). Разумеется, преступники не забывают и воровать информацию для последующего шантажа ее публикацией.

Как злоумышленники действуют?

Атака начинается со стандартного фишинга. Злоумышленники рассылают троянец Trojan-Banker.Win32.RTM, замаскированный под документ. Чтобы получатель гарантированно кликнул на вложение, письмо снабжается заголовком, который по мнению операторов атаки должен заинтересовать корпоративного получателя. Экспертам встретились варианты:

  • «Повестка в суд»
  • «Заявка на возврат»
  • «Закрывающие документы»
  • «Копии документов за прошлый месяц».

Сам по себе троянец не новый — он стабильно встречается в наших отчетах в разделе «TOP 10 семейств банковского вредоносного ПО» с 2018 года. Если получатель кликает на вложение и устанавливает вредонос, то через некоторое время на его компьютер скачиваются и дополнительные хакерские инструменты.

Далее преступники ищут в сети компьютеры сотрудников бухгалтерии и пытаются манипулировать системой дистанционного банковского обслуживания, пытаясь подменять реквизиты на собственные. Впрочем, такое поведение для RTM не ново. Интересно другое, если им не удавалось добраться до денег непосредственно, то они запускали еще один троянец под названием Quoter (детектируется Trojan-Ransom.Win32.Quoter), который шифровал содержимое всех компьютеров, к которым операторы атаки успевали получить доступ. Название шифровальщику дали наши эксперты, поскольку он зачем-то вставляет в код зашифрованных файлов цитаты из кинофильмов.

Как это заведено у современных операторов вымогательского ПО, они также выкачивали информацию и угрожали обнародовать ее, в том случае если выкуп не будет уплачен вовремя.

Кто был целью злоумышленников?

На данный момент наши эксперты знают о десятке жертв. Все они работают в России, в сфере транспорта или финансовых услуг. Однако не исключено, что жертв больше: между первичным заражением и активацией шифровальщика, после которой атака становится очевидной, может проходить до нескольких месяцев. Все это время злоумышленники исследуют сеть жертвы в поисках компьютеров с системами дистанционного банковского обслуживания.

Не исключено также, что аналогичная атака будет применяться и для атак на компании, работающие и в других регионах (по крайней мере цитаты Quoter вставляет английские, международные). Чуть более подробную техническую информацию о новой кампании, с фрагментами вредоносного кода и индикатором компрометации, можно найти в публикации на блоге Securelist.

Как защититься от подобных киберугроз?

Как обычно, начинать следует с просвещения сотрудников — большая часть атак, аналогичных данной кампании, начинается с фишинговых писем. Поэтому если ваши коллеги будут знать о потенциальной опасности и стандартных уловках злоумышленников, то с меньшей вероятностью попадутся на крючок. Организовать обучение можно дистанционно, при помощи специализированной онлайновой платформы.

Для того, чтобы вовремя обнаруживать горизонтальное движение злоумышленников по корпоративной сети и использование легитимных инструментов для вредоносных целей, можно воспользоваться продвинутыми инструментами для выявления сложных угроз.

Кроме того, все компьютеры сотрудников, особенно работающих с банковскими системами, должны быть снабжены защитными решениями, способными выявлять как известные, так и абсолютно новые угрозы.

Наши продукты успешно выявляют как банковский троянец RTM, так и шифровальщик Quoter.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Ransomware-группировка использует ClickFix для атак на компании
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
    • foroven
      Обнаружена сетевая атака
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • KL FC Bot
      Что такое ClickFix и как защититься от таких атак | Блог Касперского
      Автор KL FC Bot
      Злоумышленники все чаще используют для заражения компьютеров Windows технику ClickFix, заставляя пользователей самостоятельно запускать вредоносные скрипты. Впервые применение этой тактики было замечено весной 2024 года. За прошедшее время злоумышленники успели придумать целый ряд сценариев ее применения.
      Что такое ClickFix
      Техника ClickFix — это, по сути, попытка злоумышленников выполнить вредоносную команду на компьютере жертвы, полагаясь исключительно на приемы социальной инженерии. Злоумышленники под тем или иным предлогом убеждают пользователя скопировать длинную строку (в подавляющем большинстве случаев это скрипт PowerShell), вставить ее в окно запуска программы и нажать Enter, что в итоге должно привести к компрометации системы.
      Чаще всего атака начинается со всплывающего окна, имитирующего нотификацию о какой-либо технической проблеме. Чтобы исправить эту проблему, пользователю необходимо выполнить несколько простых действий, которые так или иначе сводятся к копированию какого-то объекта и запуску его через окно Run. Впрочем, в Windows 11 PowerShell можно выполнить и из строки поиска приложений, настроек и документов, которая открывается при нажатии на иконку с логотипом, поэтому жертву просят скопировать что-либо именно туда.
      Атака ClickFix — как своими руками заразить собственный компьютер зловредом за три простых шага. Источник
      Название ClickFix эта техника получила, поскольку чаще всего в нотификации присутствует кнопка, название которой так или иначе связано с глаголом починить (Fix, How to fix, Fix it) и на которую пользователю надо кликнуть, чтобы решить якобы возникшую проблему или увидеть инструкцию по ее решению. Однако это не обязательный элемент — необходимость запуска могут аргументировать требованием проверить безопасность компьютера или, например, просьбой подтвердить, что пользователь не робот. В таком случае могут обойтись и без кнопки Fix.
      Пример инструкции для подтверждения, что вы не робот. Источник
      От реализации к реализации схема может немного отличаться, но чаще всего атакующие выдают жертве следующую инструкцию:
      нажать кнопку для копирования решающего проблему кода; нажать сочетание клавиш [Win] + [R]; нажать сочетание [Ctrl] + [V]; нажать [Enter]. Что при этом происходит на самом деле? Первый шаг скопирует в буфер обмена какой-то невидимый пользователю скрипт. Второй — откроет окно Run («Выполнить»), которое в Windows предназначено для быстрого запуска программ, открытия файлов и папок, а также ввода команд. На третьем этапе в него из буфера обмена будет вставлен скрипт PowerShell. Наконец, на последнем этапе этот код будет запущен с текущими привилегиями пользователя.
      В результате выполнения скрипта на компьютер загружается и устанавливается какой-либо зловред — конкретная вредоносная нагрузка разнится от кампании к кампании. То есть получается, что пользователь своими руками запускает вредоносный скрипт в собственной системе и заражает свой компьютер.
       
      View the full article
    • KL FC Bot
      Ransomware-группировка Fog публикует IP-адреса жертв | Блог Касперского
      Автор KL FC Bot
      Мы внимательно следим за изменениями тактик злоумышленников. Недавно эксперты Глобального центра исследования и анализа угроз Kaspersky GReAT обратили внимание, что после атак шифровальщика-вымогателя Fog преступники публикуют не только украденные данные жертв, но и IP-адреса пострадавших компьютеров. Ранее мы не замечали такой тактики у шифровальщиков. В данной статье рассказываем, почему это важно и какова цель этого приема.
      Кто такие Fog и чем они известны
      С тех пор как бизнес шифровальщиков-вымогателей стал превращаться в полноценную индустрию, у злоумышленников наблюдается четко оформленное разделение труда. Сейчас создатели шифровальщика и люди, стоящие непосредственно за атаками, чаще всего никак не связаны — одни разрабатывают платформу для шантажа, а другие просто покупают услуги по модели Ransomware-as-a-Service (RaaS).
      Fog Ransomware — одна из таких платформ, впервые замеченная в начале 2024 года. Их шифровальщики используются для атак на компьютеры под управлением Windows и Linux. Как это обычно происходит в последние годы, данные на атакованных машинах не только шифруются, но и закачиваются на серверы злоумышленников, а затем, если жертва отказывается платить, публикуются на Tor-сайте.
      Атаки с использованием Fog проводились против компаний, работающих в сферах образования, финансов и организации отдыха. Часто для проникновения в инфраструктуру жертвы преступники использовали ранее утекшие учетные данные для доступа через VPN.
       
      View the full article
    • KL FC Bot
      Атака на цепочку поставок через GitHub Action | Блог Касперского
      Автор KL FC Bot
      Атаки на open source чаще всего сводятся к публикации новых вредоносных пакетов в репозиториях. Атака, произошедшая 14 марта, из другой лиги — злоумышленники скомпрометировали популярный процесс (GitHub Action) tj-actions/changed-files, который применяется более чем в 23000 репозиториев.  Инцидент получил номер CVE-2025-30066, этой уязвимости подвержены все репозитории, в которых использовался заражённый процесс changed-files. Хотя администрация заблокировала changed-files, а затем откатила его к безопасной версии, все, кто пользовался им должны провести реагирование на инцидент, а сообщество разработчиков — извлечь из него более общие уроки.
      Что такое GitHub Actions
      Рабочие процессы (GitHub Actions) упрощают разработку ПО при помощи автоматизации типовых задач DevOps. Они могут стартовать при наступлении каких-то событий в GitHub, например коммитов. У GitHub есть условный «магазин приложений», в котором можно взять готовый процесс и применить его в своём репозитории, например популярны процессы для автоматической инсталляции вспомогательных инструментов. Чтобы интегрировать в свой сборочный конвейер CI/CD такой готовый процесс GitHub, достаточно всего одной строчки кода.
       
      View the full article
×
×
  • Создать...