Даже взломщикам лень писать сложный код. Они просто просят вас запустить терминал
NewsMakerХитрость и никакой магии: почему психология побеждает технологии?
Группировка Velvet Tempest, известная по участию в громких атаках с программами-вымогателями, вновь попала в поле зрения специалистов. На этот раз команду связали с цепочкой вторжений, где злоумышленники применяли технику ClickFix, встроенные средства Windows и набор вредоносных компонентов, ведущих к развёртыванию CastleRAT и инфраструктуры, связанной с Termite.
Наблюдения провела компания MalBeacon, которая в течение 12 дней отслеживала действия атакующих в эмулированной среде, повторяющей инфраструктуру крупной некоммерческой организации из США. В лабораторной сети было более 3000 конечных устройств и свыше 2500 пользователей, что позволило увидеть почти полный сценарий атаки.
По данным MalBeacon, начальный доступ злоумышленники получили через malvertising-кампанию. Жертву перенаправляли на страницу с приманкой ClickFix и CAPTCHA, где предлагали вставить запутанную команду в окно «Выполнить» Windows. После запуска начиналась цепочка команд cmd.exe, а для загрузки первых компонентов использовалась утилита finger.exe. Один из файлов маскировали под PDF-документ, хотя внутри находился архив.
После проникновения операторы Velvet Tempest вручную изучали среду, собирали сведения об Active Directory, искали хосты в сети и оценивали конфигурацию инфраструктуры. Для кражи сохранённых в Chrome учётных данных применялся PowerShell -скрипт. Адрес, с которого загружался скрипт, авторы отчёта связали с подготовкой атак с использованием Termite.
Группировка Velvet Tempest, известная по участию в громких атаках с программами-вымогателями, вновь попала в поле зрения специалистов. На этот раз команду связали с цепочкой вторжений, где злоумышленники применяли технику ClickFix, встроенные средства Windows и набор вредоносных компонентов, ведущих к развёртыванию CastleRAT и инфраструктуры, связанной с Termite.
Наблюдения провела компания MalBeacon, которая в течение 12 дней отслеживала действия атакующих в эмулированной среде, повторяющей инфраструктуру крупной некоммерческой организации из США. В лабораторной сети было более 3000 конечных устройств и свыше 2500 пользователей, что позволило увидеть почти полный сценарий атаки.
По данным MalBeacon, начальный доступ злоумышленники получили через malvertising-кампанию. Жертву перенаправляли на страницу с приманкой ClickFix и CAPTCHA, где предлагали вставить запутанную команду в окно «Выполнить» Windows. После запуска начиналась цепочка команд cmd.exe, а для загрузки первых компонентов использовалась утилита finger.exe. Один из файлов маскировали под PDF-документ, хотя внутри находился архив.
После проникновения операторы Velvet Tempest вручную изучали среду, собирали сведения об Active Directory, искали хосты в сети и оценивали конфигурацию инфраструктуры. Для кражи сохранённых в Chrome учётных данных применялся PowerShell -скрипт. Адрес, с которого загружался скрипт, авторы отчёта связали с подготовкой атак с использованием Termite.