Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры приобретают рекламу в поисковых системах для распространения поддельных обновлений Microsoft Teams

10/11/20

hack77-Nov-10-2020-11-02-32-33-AMОператоры программ-вымогателей используют вредоносную рекламу для распространения поддельных обновлений Microsoft Teams, заражения систем бэкдорами и дальнейшей установки маяков Cobalt Strike для компрометации сети.
В распоряжение издания Bleeping Computer попало предупреждение Microsoft, согласно которому преступники использовали подписанные двоичные файлы и эксплуатировали критическую уязвимость ZeroLogon ( CVE-2020-1472 ), чтобы с помощью JavaScript-фреймворка SocGholish получить доступ администратора к сети.

В рамках одной из атак хакеры приобрели рекламу в поисковой системе, из-за чего первые результаты поиска для программного обеспечения Microsoft Teams указывали на домен, находящийся под контролем преступников. После нажатия на ссылку загружалась полезная нагрузка, которая запускала PowerShell-скрипт для скачивания большего количества вредоносного содержимого. Вредонос также устанавливал на системе легитимную копию Microsoft Teams, чтобы жертвы ничего не заподозрили.

Как сообщили специалисты из Microsoft, в большинстве случаев исходной полезной нагрузкой был инфостиллер Predator the Thief, который отправляет злоумышленнику конфиденциальную информацию, такую ​​как учетные данные, данные браузера и финансовую информацию. К другим распространяемым таким образом программам относятся бэкдор Bladabindi (NJRat) и инфостилер ZLoader.

Вредоносная программа также загружала маяки Cobalt Strike, что позволяло злоумышленнику перемещаться по сети. В некоторых атаках последним этапом был запуск вредоносного ПО для шифрования файлов на компьютерах сети.

Напомним, для развертывания маяков Cobalt Strike злоумышленники также начали активно использовать критическую уязвимость ( CVE-2020-14882 ) в платформах Oracle WebLogic. Таким образом хакеры обеспечивают себе постоянный удаленный доступ к скомпрометированным устройствам.

Темы:Преступленияонлайн-рекламаCobalt StrikeMicrosoft Teams
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...