Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

Новый кроссплатформенный вымогатель на Golang дает хакеру безграничные возможности

05/09/22

hack41-Sep-05-2022-09-45-14-62-AM

Согласно отчету ИБ-компании [redacted], в августе операторы нового кроссплатформенного вымогателя BianLian расширили свою инфраструктуру управления и контроля (C&C) и увеличили скорость атаки. BianLian, написанный на Go, был впервые обнаружен в июне 2022 года и уже атаковал 15 организаций.

Первоначальный доступ к сетям жертв достигается за счет использования уязвимостей ProxyShell в Microsoft Exchange Server, используя его для сброса веб-шелла или полезной нагрузки ngrok для последующих действий. BianLian также нацелен на VPN-устройства SonicWall для их дальнейшей эксплуатации. Так пишет Securitylab.

Время пребывания BianLian в сети составляет до 6 недель с момента первоначального доступа и шифрования, что значительно превышает среднее время (15 дней) в 2021 году.

Помимо использования методов LotL-атаки (Living off the Land) для профилирования сети и бокового перемещения, группа также использует специальный бэкдор для поддержания постоянного доступа к сети. Бэкдор позволяет доставить произвольные полезные нагрузки с удаленного сервера, загрузить в память и выполнить их.

BianLian может загружать серверы в безопасном режиме Windows для запуска своей вредоносной программы и оставаться незамеченным для системы защиты ОС.

По данным Cyble, целями хакеров BianLian являются компании из следующих областей:

  • СМИ (25%);
  • банковская и финансовая сфера (12,5%);
  • энергетика (12,5%);
  • производство (12,5%);
  • образование (12,5%);
  • здравоохранение (12,5%);
  • профессиональные услуги (12,5%).

Большинство компаний базируются в Северной Америке, Великобритании и Австралии.

BianLian является еще одной программой-вымогателем, разработанной на языке Go, что позволяет злоумышленникам быстро вносить изменения в единую кодовую базу, которую затем можно скомпилировать для нескольких платформ.

По словам исследователей, операторы BianLian хорошо разбираются в методологии Living off the Land, чтобы совершать боковое перемещение, корректируя свои операции в зависимости от возможностей и средств защиты сети.

Ранее было обнаружено еще одно новое вредоносное ПО Agenda, которое написано на Go и использовалось для атак на предприятия в Азии и Африке. Злоумышленник использовал общедоступный сервер Citrix в качестве точки входа.

Темы:УгрозывымогателиSonicWallLotL-атаки

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...