05/12/23
Корпорация Microsoft сообщила о новой волне атак программ-вымогателей CACTUS, использующих вредоносную рекламу для развёртывания инструмента DanaBot в качестве начального вектора доступа, пишет Securitylab.
Буквально несколько дней назад специалисты Arctic Wolf уже рассматривали схожую кампанию, эксплуатирующую уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды и заражения вымогателем CACTUS, однако отличий в этих киберинцидентах больше, чем может показаться на первый взгляд.
Эксперты Microsoft Threat Intelligence отмечают, что заражения вредоносом DanaBot, который является многофункциональным инструментом, способным действовать как инфостилер и бэкдор, привели к активным действиям со стороны хакеров Storm-0216 (Twisted Spider, UNC2198). В итоге это привело к распространению вымогательского софта CACTUS, о чём компания сообщила в серии публикаций на запрещённой платформе.
DanaBot во многом аналогичен таким инструментам, как Emotet, TrickBot, QakBot и IcedID. Более того, за группировкой Storm-0216 ранее уже было замечено использование IcedID для развёртывания таких семейств программ-вымогателей, как Maze и Egregor, о чём подробно рассказывала компания Mandiant в феврале 2021 года.
По данным Microsoft, в рассмотренной кампании злоумышленники также поначалу использовали первоначальный доступ, предоставленный QakBot. Оперативный переход на DanaBot, вероятно, связан с координированной операцией правоохранительных органов в августе 2023 года, которая привела к ликвидации инфраструктуры QakBot.
Собранные при помощи DanaBot учётные данные, как правило, передаются на сервер злоумышленников, после чего следует боковое перемещение через RDP с последующим шифрованием данных.
Новая волна кибератак группировки Storm-0216 демонстрирует постоянную изобретательность злоумышленников в обходе защитных мер и использовании новых инструментов, таких как DanaBot. Компаниям необходимо регулярно обновлять свои системы безопасности и следить за последними угрозами, чтобы защитить свои данные.
Бдительность и проактивный подход к кибербезопасности — это единственный надёжный способ противостоять всё более изощренным атакам киберпреступников.
