Emotet вернулся, Lokibot по-прежнему активен — «Лаборатория Касперского» рассказывает об актуальных киберугрозах

Ландшафт киберугроз постоянно расширяется и усложняется, и «Лаборатория Касперского» постоянно находит новые тому подтверждения. 

Новый загрузчик

В июне 2023 года исследователи «Лаборатории Касперского» обнаружили новый загрузчик. Ему было присвоено название DarkGate. Он обладает расширенными функциями по сравнению с обычными вредоносными программами такого типа. В числе возможностей DarkGate — скрытое VNC-подключение, обход работы средства защиты Microsoft Defender, умение красть историю браузера, обратный прокси, файловый менеджер, умение красть токены Discord. Цепочка заражения состоит из четырёх этапов. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).

Возвращение Emotet 

В этом году вновь была замечена активность печально известного ботнета — впервые после его ликвидации в 2021 году. В новой волне атак злоумышленники использовали популярный вектор заражения — рассылали письма с вредоносными файлами OneNote. Если жертва открывает и пытается посмотреть вложение, она запускает выполнение вредоносного скрипта VBScript.

Новая кампания с использованием Lokibot

Также «Лаборатория Касперского» обнаружила фишинговую кампанию, нацеленную на организации, занимающиеся морскими перевозками грузов. В ходе кампании злоумышленники внедряли Lokibot. Этот инфостилер был впервые обнаружен в 2016 году. Он предназначен для кражи учётных данных из разных приложений, в том числе браузеров и FTP-клиентов. Электронные письма, рассылаемые в рамках данной атаки, содержали Excel-файл, в котором пользователям предлагалось включить макросы. Злоумышленники использовали известную уязвимость в Microsoft Office (CVE-2017-0199), которая ведёт к загрузке RTF-документа. Этот RTF-документ затем использует другую уязвимость (CVE-2017-11882), чтобы загрузить и запустить LokiBot.

Возрождение Emotet и продолжающееся использование Lokibot, как и появление DarkGate, — это серьёзное напоминание о постоянно развивающихся киберугрозах, с которыми мы сталкиваемся. Злоумышленники всё время усложняют методы заражения, и организациям бывает трудно определить, от каких киберугроз следует защищаться в первую очередь. В этом помогают отчёты о новейших тактиках, методах и процедурах атакующих.

Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского»

Узнать больше о новых методах заражения можно в отдельном отчёте.

Чтобы защитить компанию от кибератак, специалисты «Лаборатории Касперского» рекомендуют:

  • регулярно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
  • ввести политику создания надёжных паролей к корпоративным сервисам и их регулярной смены и следить за её соблюдением;
  • установить мультифакторную аутентификацию для доступа к удалённым сервисам;
  • внедрить надёжное решение, такое как Kaspersky Security для бизнеса, в котором есть модуль поведенческого детектирования и контроля аномалий для эффективной защиты от известных и неизвестных угроз;
  • внедрить EDR-решение и сервис, который умеет распознавать и останавливать атаки на ранней стадии, до того как злоумышленники нанесут существенный урон, такой как Kaspersky Managed Detection and Response.

Related posts

Игра-кликер от создателей Плюс Сити собрала 1 млн пользователей за неделю 

Рекламодатели Директа первыми на рынке смогут  оптимизировать показы медийной рекламы на рост брендовых метрик

ВТБ подключил оплату по универсальному QR-коду в магазинах, поддержав инициативу ЦБ и НСПК