LightBot — новый инструмент разведки от создателей TrickBot

LightBot — новый инструмент разведки от создателей TrickBot

LightBot — новый инструмент разведки от создателей TrickBot

Авторы TrickBot создали новый облегченный инструмент, предназначенный для сбора данных о сети жертвы с целью развития атаки. В настоящее время вредоносный скрипт, который в Advanced Intel нарекли LightBot, распространяется через спам-рассылки и отдается со страниц, созданных злоумышленниками на веб-сервисе Google Документы.

Авторство LightBot было определено на основании схожести техник доставки. Новый зловред раздается с использованием тех же элементов социальной инженерии, которые ранее были замечены в кампаниях BazarLoader — программы-загрузчика с функциями бэкдора, которая унаследовала часть кода TrickBot.

Атака LightBot начинается с поддельного письма, имитирующего ответ HR или штатного юриста компании сотруднику, которого якобы собираются уволить по жалобе клиента. Фальшивка снабжена ссылками на некий документ в облаке Google; при заходе на указанную страницу получателю сообщают, что предварительный просмотр невозможен, и предлагают скачать документ на компьютер.

Нажатие встроенной ссылки влечет загрузку JavaScript-файла, замаскированного под документ Word. На самом деле его назначением является запуск вредоносного PowerShell-сценария — LightBot.

Анализ нового зловреда показал, что он способен в фоновом режиме поддерживать связь с C2-сервером, ожидая команд на загрузку других скриптов PowerShell, а также сбор и отправку информации. В ходе тестирования LightBot интересовался следующими данными:

  • имя компьютера
  • используемое оборудование
  • имя пользователя
  • версия Windows
  • список контроллеров домена Windows
  • имя основного контроллера домена
  • настройки подключения для статического IP-адреса
  • домен DNS
  • тип сетевого адаптера
  • список установленных программ

В обеспечение бесперебойной C2-связи в зараженной системе создается запланированное задание на ежедневный запуск вредоносного сценария в семь утра. Дополнительные скрипты, получаемые с сервера, помогают LightBot искать и отсылать только ту информацию, которая в данный момент интересует оператора. Это позволяет ему составить профиль жертвы и решить, стоит продолжать атаку или нет.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

VK WorkSpace теперь совместим с DLP-системой InfoWatch Traffic Monitor

DLP-система InfoWatch Traffic Monitor теперь совместима с on-premise-версией платформы VK WorkSpace. Это означает, что компании смогут контролировать, какие данные передаются в корпоративных письмах и мессенджере, и вовремя предотвращать утечки.

Интеграция охватывает основные каналы рабочей коммуникации — электронную почту и мессенджер VK Teams. DLP-система отслеживает текст, вложения и документы, выявляет потенциально конфиденциальную информацию и проверяет, нарушаются ли политики безопасности компании.

Если нарушение зафиксировано, система может автоматически заблокировать отправку сообщения, ограничить доступ к файлам и уведомить ИБ-специалистов.

Почта, работающая в составе VK WorkSpace, тоже подключается к DLP-системе. Есть несколько способов настройки: можно перенаправлять почтовый трафик через SMTP или использовать скрытую копию (BCC).

Интеграция настраивается через административный интерфейс — достаточно указать адрес сервера или почтового ящика DLP. Кроме того, защиту трафика на рабочих устройствах обеспечивает установленный агент InfoWatch.

Как подчёркивают в обеих компаниях, эта интеграция — ответ на запросы бизнеса и госсектора на усиление контроля за утечками и работу в полностью российских ИТ-средах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru