Колин Тьерри
На прошлой неделе Microsoft сообщила, что за новой волной королевских атак стоит группа угроз, идентифицированная как DEV-0569. вымогателей и другое вредоносное ПО, развернутое через фишинговые ссылки, законные веб-сайты и Google Ads.
Обход решений безопасности — это один из аспектов, в котором злоумышленники иногда сталкиваются с проблемами. Один из способов обойти эти решения — ввести пользователей в заблуждение, нажав на вредоносные ссылки или загрузив вредоносное программное обеспечение.
DEV-0569 использует обе эти техники против целевых пользователей. Группа угроз создает фишинговые веб-сайты, использует контактные формы для целевых организаций, размещает установщики на сайтах загрузки, которые выглядят законными, и развертывает Google Ads.
«Деятельность DEV-0569 использует подписанные двоичные файлы и доставляет зашифрованные полезные данные вредоносного ПО», объяснены Microsoft в своем заявлении на прошлой неделе. Также известно, что группа активно использует методы уклонения от защиты и продолжает использовать инструмент с открытым исходным кодом Nsudo, чтобы в последнее время пытаться отключить антивирусные решения в кампаниях.
«DEV-0569 в значительной степени опирается на вредоносную рекламу, фишинговые ссылки, которые указывают на загрузчик вредоносного ПО, выдающий себя за установщиков программного обеспечения или обновлений, встроенных в спам-письма, поддельные страницы форума и комментарии в блогах», — добавил технический гигант.
Одна из основных целей DEV-0569 — получить доступ к устройствам в защищенных сетях, что позволит им развернуть программу-вымогатель Royal. В результате группа может стать брокером доступа для других операторов программ-вымогателей, продавая доступ, который у них есть, другим хакерам.
Кроме того, группа использует Google Ads, чтобы расширить охват и слиться с законным интернет-трафиком.
«Исследователи Microsoft обнаружили вредоносную рекламную кампанию DEV-0569 с использованием Google Ads, которая указывает на законную систему распределения трафика (TDS) Keitaro, которая предоставляет возможности для настройки рекламных кампаний путем отслеживания рекламного трафика и фильтрации на основе пользователей или устройств», — говорится в сообщении компании. . «Microsoft заметила, что TDS перенаправляет пользователя на законный сайт загрузки или, при определенных условиях, на вредоносный сайт загрузки BATLOADER».
Таким образом, эта стратегия позволяет злоумышленникам обходить диапазоны IP-адресов известных решений для изолированной программной среды безопасности, отправляя вредоносное ПО на определенные цели и IP-адреса.
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- Детективы безопасности
- VPN
- безопасности веб-сайтов
- зефирнет