Исследовательская группа Sophos Counter Threat Unit обнаружила кампанию, в которой злоумышленники используют легитимный инструмент для цифровой криминалистики Velociraptor с открытым исходным кодом. Атака начинается с использования утилиты Windows
После установки MSI-файла на систему жертвы разворачивается Velociraptor. Затем этот инструмент подключается ко второму, отличному от первого, домену Cloudflare Workers для получения команд. Используя полученный доступ, атакующие с помощью закодированной команды PowerShell загружают со своего сервера Visual Studio Code.
Целью развертывания Visual Studio Code является создание командно-контрольного (C2) туннеля. Программа запускается с опцией
Компании Hunters и Permiso сообщили об атаках, эксплуатирующих платформу для совместной работы Microsoft Teams. Злоумышленники, используя новые или скомпрометированные учетные записи, отправляют пользователям прямые сообщения или инициируют звонки. Они выдают себя за сотрудников службы ИТ-поддержки, ссылаясь на необходимость обслуживания системы или решения проблем с производительностью.
Основная цель этой социальной инженерии — убедить жертву установить легитимное программное обеспечение для удаленного доступа, такое как AnyDesk, DWAgent или Quick Assist. Как только пользователь предоставляет доступ, злоумышленники захватывают контроль над его системой. После этого они развертывают PowerShell-пейлоад, предназначенный для кражи учетных данных, обеспечения постоянного присутствия в системе и удаленного выполнения кода. В ходе атаки пользователю также демонстрируется поддельное окно для ввода учетных данных Windows, пароли из которого сохраняются в текстовый файл.
По мнению исследователей Исуфа Делиу, Алона Клаймана и Томера Кахлона, применяемые тактики схожи с теми, что использует группа вымогателей Black Basta с середины 2024 года, однако в новых кампаниях отсутствует этап «email-бомбинга». Аналогичные методы также применялись для распространения вредоносных программ DarkGate и Matanbuchus. Для защиты рекомендуется отслеживать в журналах аудита события
Компания Push Security зафиксировала сложную фишинговую кампанию, нацеленную на кражу учетных данных Microsoft 365. Атака начинается с того, что пользователь нажимает на вредоносную спонсированную ссылку в результатах поисковой системы. Это запускает цепочку перенаправлений, в которой ключевую роль играет неправильное использование служб федерации Active Directory (ADFS).
Злоумышленники настраивают собственный клиент Microsoft и конфигурируют его с использованием ADFS. Эта конфигурация заставляет собственные серверы Microsoft выполнять перенаправление на фишинговый домен атакующих, который имитирует страницу входа Microsoft. Как отмечает Люк Дженнингс, это не уязвимость в ADFS, а продуманное злоупотребление легитимной функцией. Такой метод значительно усложняет обнаружение фишинга на основе анализа URL-адресов, поскольку первоначальное перенаправление исходит от доверенного источника — серверов Microsoft.
msiexec для загрузки установщика MSI с домена Cloudflare Workers. Этот же домен служит плацдармом для размещения других вредоносных инструментов. Изображение носит иллюстративный характер
После установки MSI-файла на систему жертвы разворачивается Velociraptor. Затем этот инструмент подключается ко второму, отличному от первого, домену Cloudflare Workers для получения команд. Используя полученный доступ, атакующие с помощью закодированной команды PowerShell загружают со своего сервера Visual Studio Code.
Целью развертывания Visual Studio Code является создание командно-контрольного (C2) туннеля. Программа запускается с опцией
tunnel, что позволяет установить постоянное соединение для удаленного доступа и выполнения кода. Анализ серверов злоумышленников также выявил наличие утилиты для удаленного администрирования Radmin и инструмента для туннелирования от Cloudflare. Sophos рекомендует рассматривать несанкционированное использование Velociraptor как предвестник атаки программы-вымогателя. Компании Hunters и Permiso сообщили об атаках, эксплуатирующих платформу для совместной работы Microsoft Teams. Злоумышленники, используя новые или скомпрометированные учетные записи, отправляют пользователям прямые сообщения или инициируют звонки. Они выдают себя за сотрудников службы ИТ-поддержки, ссылаясь на необходимость обслуживания системы или решения проблем с производительностью.
Основная цель этой социальной инженерии — убедить жертву установить легитимное программное обеспечение для удаленного доступа, такое как AnyDesk, DWAgent или Quick Assist. Как только пользователь предоставляет доступ, злоумышленники захватывают контроль над его системой. После этого они развертывают PowerShell-пейлоад, предназначенный для кражи учетных данных, обеспечения постоянного присутствия в системе и удаленного выполнения кода. В ходе атаки пользователю также демонстрируется поддельное окно для ввода учетных данных Windows, пароли из которого сохраняются в текстовый файл.
По мнению исследователей Исуфа Делиу, Алона Клаймана и Томера Кахлона, применяемые тактики схожи с теми, что использует группа вымогателей Black Basta с середины 2024 года, однако в новых кампаниях отсутствует этап «email-бомбинга». Аналогичные методы также применялись для распространения вредоносных программ DarkGate и Matanbuchus. Для защиты рекомендуется отслеживать в журналах аудита события
ChatCreated и MessageSent, а также обучать сотрудников распознавать попытки выдать себя за ИТ-специалистов. Компания Push Security зафиксировала сложную фишинговую кампанию, нацеленную на кражу учетных данных Microsoft 365. Атака начинается с того, что пользователь нажимает на вредоносную спонсированную ссылку в результатах поисковой системы. Это запускает цепочку перенаправлений, в которой ключевую роль играет неправильное использование служб федерации Active Directory (ADFS).
Злоумышленники настраивают собственный клиент Microsoft и конфигурируют его с использованием ADFS. Эта конфигурация заставляет собственные серверы Microsoft выполнять перенаправление на фишинговый домен атакующих, который имитирует страницу входа Microsoft. Как отмечает Люк Дженнингс, это не уязвимость в ADFS, а продуманное злоупотребление легитимной функцией. Такой метод значительно усложняет обнаружение фишинга на основе анализа URL-адресов, поскольку первоначальное перенаправление исходит от доверенного источника — серверов Microsoft.
