Идёт сложная вредоносная кампания, нацеленная на организации в Азии, Латинской Америке и Европе

Атакующие используют ранее неизвестный загрузчик вредоносного ПО

Эксперты Глобального центра исследования и анализа угроз "Лаборатории Касперского" (Kaspersky GReAT) обнаружили новую сложную вредоносную кампанию — StrikeShark. Злоумышленники проникли в ряд организаций по всему миру, в том числе на Тайване, в Индонезии, Гонконге, Ливане, Сирии, Колумбии, Северной Македонии, Непале и Сербии. Для этого атакующие использовали ранее неизвестный загрузчик вредоносного ПО — SharkLoader. На данный момент "Лаборатория Касперского" не связывает эту кампанию с какой-либо известной группой и продолжает отслеживать её активность.

Как происходит заражение. Для первичного заражения использовались различные тактики. В частности, злоумышленники эксплуатировали уязвимости в приложениях, подключённых к интернету, таких как Microsoft Exchange, Microsoft SharePoint и Openfire. В других случаях применялись вредоносные дропперы, замаскированные под легальное программное обеспечение, например под установщики Google Update или Cisco AnyConnect либо даже под фишинговые PDF-документы, чтобы обманом заставить пользователей скачать вредоносное ПО.

Многоэтапный процесс заражения. Техническая сложность SharkLoader свидетельствует о высоком уровне квалификации злоумышленников. Заражение начинается с эксплуатации уязвимости или установки дроппера — в том числе под видом легитимного приложения. Затем применяется боковая загрузка DLL-файлов с помощью различных легитимных приложений Windows для загрузки зашифрованных вредоносных модулей. Эти модули расшифровывают и рефлексивно загружают дополнительные компоненты, предназначенные для установки API-хуков с целью обхода механизмов обнаружения и, в конечном счёте, для внедрения и запуска Cobalt Strike Beacon — легитимного инструмента для тестирования на проникновение. Злоумышленники часто используют его для управления и контроля, разведки, перемещения по сети и вывода данных из скомпрометированных систем.

"Кампания StrikeShark отражает изменения в ландшафте киберугроз. Злоумышленники сочетают легкодоступные инструменты атак с индивидуально разработанным вредоносным ПО и передовыми методами обхода защиты. Использование приманок, выглядящих как легитимные ресурсы, и эксплуатация известных уязвимостей подчёркивают острую необходимость для организаций обеспечивать тщательное управление исправлениями, эффективное обнаружение и реагирование на угрозы на конечных устройствах, а также проводить всестороннее обучение сотрудников по вопросам информационной безопасности", — комментирует Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.

Для обеспечения защиты "Лаборатория Касперского" рекомендует:

· регулярно обновлять все приложения, чтобы устранять известные уязвимости;

· использовать проверенные защитные решения для обнаружения и блокировки дропперов вредоносного ПО;

· обучать сотрудников навыкам цифровой грамотности, чтобы минимизировать риски атак с использованием методов социальной инженерии, в том числе фишинга; в этом помогут специализированные курсы или тренинги, например Kaspersky Automated Security Awareness Platform;

· применять комплексное решение для защиты, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли.

О Kaspersky GReAT

Глобальный центр исследования и анализа угроз "Лаборатории Касперского" (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Талантливые профессионалы в сфере кибербезопасности играют ведущую роль в исследовании вредоносного ПО и создании инновационных методов борьбы с ним. Их богатый опыт, мотивация и любознательность способствуют эффективному обнаружению и анализу киберугроз.