BI.ZONE: хакеры отказываются от вредоносных программ в пользу редких инструментов для пентеста

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

В последние несколько месяцев кибергруппировки стали чаще использовать фреймворк Havoc. Этот инструмент применяется реже аналогичных, и поэтому его сложнее выявить современными средствами защиты информации. По данным компании BI.ZONE, 12% всех кибератак злоумышленники совершают с применением инструментов, изначально предназначенных для тестирования на проникновение. Решения для пентеста и red team хакеры стали включать в арсенал ещё со второй половины 2010 годов, однако в последнее время преступники стремятся заменить популярные инструменты на менее известные.

В последние несколько месяцев выросла популярность Havoc — фреймворка для постэксплуатации с открытым исходным кодом. Изначально этот инструмент предназначен для того, чтобы получить доступ к системе в рамках пентеста и установить над ней контроль.

Руководитель BI.ZONE Threat Intelligence Олег Скулкин рассказал о нескольких кампаниях, в ходе которых злоумышленники применяли менее распространённый фреймворк Havoc, чтобы получить удалённый доступ к компьютерам жертв. Havoc принципиально не отличаются от других фреймворков. Этот инструмент менее популярен, чем другие, а потому его сложнее обнаружить средствами защиты. В этом и заключается его ключевое преимущество для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а такие группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше. Для распространения вредоносной нагрузки фреймворка злоумышленники использовали фишинг.

В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив, в котором содержался lnk‑файл. Если пользователь открывал этот ярлык, на его компьютер загружался отвлекающий документ — выписка из амбулаторной карты пациента, а также устанавливался загрузчик — программа, которая затем внедряла в устройство жертвы агент фреймворка Havoc. После этого злоумышленники получали доступ к скомпрометированной системе и могли удалённо выполнять в ней команды и выгружать данные.

В другой кампании преступники рассылали фишинговые письма от лица одной из силовых структур. Пользователя уведомляли о том, что он якобы подозревается в совершении серьёзного преступления, и просили предоставить документы, список которых предлагали скачать по ссылке в теле письма. На самом деле при переходе по ссылке на компьютер жертвы, как и в предыдущем случае, устанавливался загрузчик, а вслед за этим — агент.

Фишинговые рассылки по‑прежнему остаются у киберпреступников одним из самых популярных способов получения первичного доступа. Причина в их низкой себестоимости, широте покрытия и высокой эффективности. Чтобы защитить корпоративную почту от фишинговых рассылок, но при этом не задерживать доставку легитимной почты, используются сервисы для фильтрации нежелательных писем.

Источник: https://habr.com/ru/news/847456/


Интересные статьи

Интересные статьи

В июне 2023 года консорциум W3C анонсировал новый стандарт для подтверждения финансовых операций Secure Payment Confirmation (SPC), который в случае принятия упростит платежи в интернете. Пока ста...
В современной разработке программного обеспечения необходимо обеспечивать максимально быстрое и безошибочное развертывание приложений. Для этого широко используются такие стандарты, как Docker, Jenkin...
Те, кто собираются открывать интернет-магазин, предварительно начитавшись в интернете о важности уникального контента, о фильтрах, накладываемых поисковиками за копирование материалов с других ресурсо...
Компании переполнили рынок товаров и услуг предложениями. Разнообразие наблюдается не только в офлайне, но и в интернете. Достаточно вбить в поисковик любой запрос, чтобы получить подтверждение насыще...
Есть статьи о недостатках Битрикса, которые написаны программистами. Недостатки, описанные в них рядовому пользователю безразличны, ведь он не собирается ничего программировать.