Кибершпионские группы все чаще используют маршрутизаторы для кибератак

Кибершпионские группы все чаще используют маршрутизаторы для кибератак

По данным исследователей «Лаборатории Касперского», кибершпионские группы все чаще используют взломанные маршрутизаторы во время кибератак. Об этом заявил Костин Райю, руководитель глобального центра исследований и анализа угроз.

«Этот подход не является каким-то новшеством, просто он вышел на пик использования. Мы наблюдали множество атак маршрутизаторов на протяжении многих лет. Очень хорошим примером является SYNful Knock, атакующий роутеры Cisco. Такие методы используют группировки вроде Regin и CloudAtlas», — объясняет господин Райю.

Количество киберпреступных групп, использующих роутеры для атак, неуклонно растет с прошлого года. Про одну из таких групп — Slingshot — мы писали в марте, эти злоумышленники использовали уязвимые маршрутизаторы MikroTik. Предположительно, Slingshot связана с армией США.

Другие преступники, Inception Framework, взламывали маршрутизаторы, создавая сеть прокси-серверов. Они использовали атаку, известную как UPnProxy.

Все это общеизвестные примеры, тем не менее, существует также много инцидентов, которые не были известны широкой публике. Райю рассказывает об одном:

«Основываясь на своих наблюдениях, мы выделили киберпреступную группу LuckyMouse, которая обеспечивала хостинг своих командных центров C&C, что является редкой практикой среди злоумышленников. Мы считаем, что им удалось взломать маршрутизатор с помощью уязвимости SMB, это позволило им загрузить свои скрипты CGI».

LuckyMouse представляет собой принципиально новую киберугрозу, которая ранее не детализировалась ни в одном из отчетов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Поклонникам блокчейна в Discord раздают троянов с помощью нового криптора

Эксперты Morphisec выявили вредоносную кампанию, ориентированную на участников NFT- и DeFi-сообществ в Discord, а также поклонников блокчейн-игр. Для обхода антивирусов злоумышленники используют необычную программу-криптор, которой было присвоено кодовое имя Babadeda — по найденной в коде строке-заполнителе.

Новоявленный Windows-зловред уже засветился в киберкампаниях, нацеленных на засев инфостилеров, RAT-троянов и шифровальщика LockBit. С конца лета его в основном используют для доставки BitRAT и Remcos.

Согласно блог-записи Morphisec, атаки в каналах Discord начинаются с рассылки тизеров с предложением загрузить полезную прогу — например, для игры Mines of Dalarnia. Кликнув по указанной ссылке, получатель попадает на сайт-редиректор, схожий с ожидаемым оригиналом.

Адрес фальшивки тоже правдоподобен: злоумышленники используют тайпсквоттинг либо попросту регистрируют такое же имя домена, но в другой TLD-зоне. Для пущей убедительности маскировочный сайт использует бесплатный SSL-сертификат Let’s Encrypt.

После автоматического перенаправления браузера на машину жертвы загружается фейковый инсталлятор для Windows, запускающий цепочку заражения.

 

В ходе исследования было выявлено 82 вредоносных домена, ассоциируемых с Babadeda-кампанией. Все они созданы в период с 24 июля по 17 ноября этого года. Один сайт был оформлен на русском языке.

Обнаружены также различные варианты криптора. Некоторые из них при исполнении выводят интерактивное окно с сообщением об ошибке (отказе приложения) — по всей видимости, это еще один маскировочный трюк.

Первые загруженные на VirusTotal образцы Babadeda (LarvaLabs-App_v2.1.1-setup.exe) плохо детектились — 1-2 антивируса из 60+. По состоянию на 26 ноября его распознают 15 сканеров в коллекции.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru