15/05/24
Исследователи обнаружили активно развивающуюся кампанию, целью которой является получение первоначального доступа к корпоративным IT-системам для их дальнейшей эксплуатации. Злоумышленники бомбардируют предприятия спам-рассылками, чтобы завладеть вниманием сотрудников.
По данным компании Rapid7 , хакеры буквально заваливают жертв бесполезными письмами, а затем звонят им, выдавая себя за IT-специалистов компании и предлагая помощь в решении проблемы, пишут в Securitylab. Пользователей просят установить программное обеспечение удаленного управления вроде AnyDesk или воспользоваться встроенным в Windows инструментом Quick Assist.
Кампания ведется с конца апреля 2024 года. Спам в основном состоит из писем с подтверждениями подписки на различные рассылки от легитимных организаций. Метод также преследует цель перегрузить средства защиты от нежелательных сообщений на корпоративных серверах.
Получив удаленный доступ, киберпреступники загружают вредоносное ПО для кражи учетных данных и обеспечения стойкого присутствия на скомпрометированных системах. Для этого используются различные пакетные скрипты, один из которых устанавливает соединение с сервером управления, загружает OpenSSH для Windows и запускает обратный веб-шелл.
В одном из зафиксированных случаев злоумышленники попытались развернуть вредоносное ПО Cobalt Strike для распространения по корпоративной сети, однако эта попытка оказалась безуспешной. При этом были применены инструменты удаленного администрирования вроде ConnectWise ScreenConnect и троян NetSupport RAT.
Исследователи отмечают: компания очень похожа на предыдущие операции, связанные с вымогательским ПО Black Basta. Также прослеживается причастность хакерской группы FIN7, которая недавно применяла NetSupport RAT в малвертайзинговой кампании.
Первоначально FIN7 специализировалась на финансовом мошенничестве с использованием ПО для кражи данных платежных терминалов. Однако в последнее время группа переквалифицировалась в вымогательскую, действуя либо в качестве аффилированного партнера, либо самостоятельно под именами DarkSide и BlackMatter.
Хотя на данный момент нет свидетельств активности программ-вымогателей в рамках описанной операции, эксперты предупреждают, что ее участники обладают всеми необходимыми возможностями для проведения атак подобного типа.
