Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Rhysida берёт на вооружение Oyster Backdoor

02/08/24

backdoor2-Aug-02-2024-10-38-29-2957-AM

10 июля неназванная частная школа подверглась атаке группы вымогателей Rhysida, использующей новую версию Oyster Backdoor, известную также как Broomstick. Этот обновлённый вариант Oyster был впервые обнаружен Rapid7 в конце июня этого года и использует метод SEO Poisoning для обмана пользователей, заставляя их загружать вредоносные установщики, маскирующиеся под легитимное программное обеспечение, такое как Google Chrome и Microsoft Teams.

В ходе вышеозвученной атаки на конечной точке пользователя был развёрнут Oyster Backdoor, вероятно, через вредоносный IP-сканер, распространяемый через малвертайзинг. Вредоносная DLL-библиотека , связанная с этой атакой, взаимодействует с доменом «codeforprofessionalusers[.]com», который исследователи ThreatDown идентифицировали как сервер командования и управления Oyster, пишет Securitylab.

Одним из примечательных методов, использованных в этой атаке, был захват ввода, позволивший украсть административные учётные данные гипервизоров клиентов. Определенные задачи и вредоносные директории, идентифицированные в этом инциденте, были добавлены в базу данных обнаружений ThreatDown.

Атакующие использовали украденные SSH-учётные данные для доступа к устройствам NAS и гипервизорам VMware, обходя защитный слой реального времени ThreatDown Endpoint Protection (EP), что позволило им развернуть Rhysida. Так как клиент полагался только на EP вместо EDR или MDR, подозрительная активность осталась незамеченной.

Вымогатели зашифровали файлы VMDK на гипервизоре и, возможно, другие критически важные данные на устройствах NAS. Кроме того, были зашифрованы и локальные резервные копии, что потребовало использование дополнительных резервных копий для восстановления данных.

С момента своего появления в июне 2023 года группа Rhysida провела более 107 подтверждённых атак, при этом около 30% жертв приходятся на образовательный сектор. Для предотвращения атак и минимизации их последствий рекомендуется следовать следующим практикам:

  • Удаление всех следов атаки. После изоляции и остановки первого нападения необходимо удалить все следы злоумышленников, их вредоносного ПО и методов проникновения.
  • Блокировка общих форм проникновения. Разработать план для быстрого устранения уязвимостей в системах, доступных из интернета; усилить защиту удалённого доступа (RDP и VPN); использовать программное обеспечение для защиты конечных точек.
  • Обнаружение вторжений. Сегментировать сети и ограничивать права доступа, используя EDR или MDR для обнаружения необычной активности.
  • Создание дополнительных резервных копий, хранящихся оффлайн. Держать резервные копии вне досягаемости злоумышленников и регулярно проверять возможность восстановления.
Темы:ПреступлениябэкдорыRapid7тактики киберпреступниковSEO Poisoning
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...