Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Группировка Twisted Spider активно использует троян DanaBot как канал доставки вредоноса CACTUS

05/12/23

cactus-ransomware-using-qlik-bugs-danabot-in-latest-attacks-showcase_image-6-a-23744

Корпорация Microsoft сообщила о новой волне атак программ-вымогателей CACTUS, использующих вредоносную рекламу для развёртывания инструмента DanaBot в качестве начального вектора доступа, пишет Securitylab.

Буквально несколько дней назад специалисты Arctic Wolf уже рассматривали схожую кампанию, эксплуатирующую уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды и заражения вымогателем CACTUS, однако отличий в этих киберинцидентах больше, чем может показаться на первый взгляд.

Эксперты Microsoft Threat Intelligence отмечают, что заражения вредоносом DanaBot, который является многофункциональным инструментом, способным действовать как инфостилер и бэкдор, привели к активным действиям со стороны хакеров Storm-0216 (Twisted Spider, UNC2198). В итоге это привело к распространению вымогательского софта CACTUS, о чём компания сообщила в серии публикаций на запрещённой платформе.

DanaBot во многом аналогичен таким инструментам, как Emotet, TrickBot, QakBot и IcedID. Более того, за группировкой Storm-0216 ранее уже было замечено использование IcedID для развёртывания таких семейств программ-вымогателей, как Maze и Egregor, о чём подробно рассказывала компания Mandiant в феврале 2021 года.

По данным Microsoft, в рассмотренной кампании злоумышленники также поначалу использовали первоначальный доступ, предоставленный QakBot. Оперативный переход на DanaBot, вероятно, связан с координированной операцией правоохранительных органов в августе 2023 года, которая привела к ликвидации инфраструктуры QakBot.

Собранные при помощи DanaBot учётные данные, как правило, передаются на сервер злоумышленников, после чего следует боковое перемещение через RDP с последующим шифрованием данных.

Новая волна кибератак группировки Storm-0216 демонстрирует постоянную изобретательность злоумышленников в обходе защитных мер и использовании новых инструментов, таких как DanaBot. Компаниям необходимо регулярно обновлять свои системы безопасности и следить за последними угрозами, чтобы защитить свои данные.

Бдительность и проактивный подход к кибербезопасности — это единственный надёжный способ противостоять всё более изощренным атакам киберпреступников.

Темы:MicrosoftУгрозытрояныВымогателиВебмониторэкс
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • SIEM – сложно и дорого? Уже нет!
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • "Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных.
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...