Троян FatalRAT атакует энергетику, здравоохранение и логистику
Киберпреступники последовательно атаковали ряд промышленных организаций в Азиатско-Тихоокеанском регионе, распространяя вредоносное ПО FatalRAT. В частности, применяемый сценарий распространения ВПО актуален для промышленных организаций на территории России. Как защититься от нового трояна, рассказала аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.
По данным Kaspersky ICS CERT, преступники разработали сложную многоэтапную систему доставки вредоносного ПО, позволяющую обходить защитные механизмы. Для доставки вредоносного кода злоумышленники использовали облачные сервисы, такие как платформа myqcloud и Youdao Cloud Notes.
Жертвами уже стали государственные учреждения и предприятия в сфере производства, строительства, информационных технологий, здравоохранения, энергетики и логистики. В списке затронутых стран — Тайвань, Малайзия, Китай, Япония, Таиланд, Южная Корея, Сингапур, Филиппины, Вьетнам и Гонконг.
Атака начинается с фишингового письма с ZIP-архивом. При открытии файла запускается первый загрузчик, который обращается к облачному сервису для скачивания DLL-библиотеки и конфигуратора FatalRAT. Последний загружает дополнительные данные из облачного сервиса и открывает ложный файл, чтобы жертва не заподозрила неладное.
Основной механизм заражения — подмена DLL-библиотек, позволяющая маскировать вредоносное ПО под легитимные процессы Windows. После успешного выполнения цепочки атакующее ПО загружает FatalRAT с сервера «myqcloud[.]com», скрывая свои следы с помощью поддельного сообщения об ошибке.
ВПО FatalRAT наносит критичный ущерб при попадании на пользовательские устройства. В перечне его функционала: кейлоггер, контроль экрана, удаление пользовательских данных, загрузка удалённого ПО (например, AnyDesk и UltraViewer), файловые операции, управление прокси-сервером и принудительное завершение процессов.
«Для недопущения негативного воздействия со стороны вредоносного ПО важно обеспечить комплексную периметральную защиту инфраструктуры. Как отмечается, многофункциональное ВПО может мимикрировать под легитимные процессы Windows и завершать свою работу при обнаружении анализа собственного исходного кода. В соответствии с этой проблематикой, помимо внедрения СЗИ-решений и запуска курсов повышения осведомлённости сотрудников от фишинговых атак, крайне важно обеспечить мониторинг подозрительной сетевой активности и блокировать загрузки из ненадёжных источников. Меры митигации таких угроз успешно применяются в GSOC. Мониторинг аномальных событий осуществляется аналитиками с экспертизой в области форензики, расследования инцидентов и проактивной разведки угроз», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.
Компании «Газинформсервис» и «Индид» объявили об успешном завершении тестирования на совместимость системы управления базами данных Jatoba версии 6.4.1 и решения для управления привилегированным доступом Indeed Privileged Access Manager (Indeed PAM) версии 3.0. Интеграция этих продуктов обеспечивает организациям комплексную защиту критически важных данных, позволяя контролировать доступ привилегированных пользователей к базам данных и минимизировать риски несанкционированного доступа..
В популярном архиваторе WinZip обнаружена критическая уязвимость «нулевого дня», позволяющая хакерам обходить защитный механизм Mark-of-the-Web (MotW) и незаметно внедрять вредоносный код. Александр Михайлов, руководитель GSOC компании «Газинформсервис», напоминает — даже к самым сложным 0-day-атакам можно подготовиться заранее.
Китайская хакерская группировка Billbug (Lotus Blossom) развернула новую волну кибершпионажа против крупных организаций в Юго-Восточной Азии. Злоумышленники используют арсенал сложного вредоносного ПО, включая бэкдоры (Sagerunex), средства кражи учетных данных (ChromeKatz, CredentialKatz) и специализированные инструменты удаленного доступа.
Китайская хакерская группировка Billbug (Lotus Blossom) развернула новую волну кибершпионажа против крупных организаций в Юго-Восточной Азии. Злоумышленники используют арсенал сложного вредоносного ПО, включая бэкдоры (Sagerunex), средства кражи учетных данных (ChromeKatz, CredentialKatz) и специализированные инструменты удаленного доступа.
На Всероссийской научно-практической конференции «Кадровое обеспечение информационной безопасности Российской Федерации» компания «Газинформсервис» поделилась опытом модернизации образовательных программ в сфере ИБ и призвала к созданию более гибких и адаптивных программ обучения. Компания выступила партнёром мероприятия, собравшего представителей федеральных органов власти (включая ФСТЭК России), госкорпораций, экспертного сообщества, бизнеса, разработчиков, интеграторов, а также образовательных организаций всех уровней..
Компания «Газинформсервис» продолжает знакомить будущих специалистов по информационной безопасности (ИБ) с практической стороной профессии в рамках проекта Security Skills. 18 апреля в Санкт-Петербурге прошла очередная встреча студентов ведущих технических вузов города с экспертами компании.
Финтех-компания Harvest стала жертвой атаки вымогателей Run Some Wares. Злоумышленники использовали тактику двойного вымогательства: зашифровали данные и угрожают их публикацией.
