Emotet сеет маячки Cobalt Strike, подготавливая почву для шифровальщиков

Emotet сеет маячки Cobalt Strike, подготавливая почву для шифровальщиков

Emotet сеет маячки Cobalt Strike, подготавливая почву для шифровальщиков

Внезапно оживший троян Emotet начал устанавливать на зараженные машины Cobalt Strike Beacon, открывая злоумышленникам доступ к сети для продолжения атаки. Не исключено, что новую возможность начнут использовать для внедрения шифровальщиков — операторы таких вредоносных программ охотно отдают взлом сетей на аутсорс.

В прошлом возможности Emotet неоднократно использовались для засева других зловредов (TrickBot, Qbot), а те уже могли загрузить дополнительные инструменты атаки — к примеру, популярный у киберкриминала тулкит Cobalt Strike. На днях наблюдатели заметили, что вернувшийся после разгромной акции троян напрямую, без прежних посредников устанавливает маячок Cobalt Strike.

Этот довесок объявляется далеко не всегда, но, оказавшись в системе, сразу пытается связаться со своим C2-сервером, а затем деинсталлируется. В некоторых случаях зараженной машине отдается команда на установку тулкита Cobalt Strike.

Сам Emotet при этом собирает немного данных, основным оружием в этом плане является Cobalt Strike. С помощью этого инструмента пентеста можно получить много полезной информации о сети или ее домене с тем, чтобы запустить туда дополнительных зловредов — например, шифровальщика.

Такой исход вполне вероятен: как выяснил BleepingComputer, на возращении Emotet очень настаивали операторы Conti. Использование Emotet в тандеме с Cobalt Strike должно значительно ускорить заражение сетей тем или иным вымогателем: обычно такие вредоносы появляются в них через месяц после первичного проникновения.

Впрочем, истинные намерения операторов Emotet пока не ясны. Они могут использовать новую тактику для собственных нужд (проведения разведки в сети), могут также запустить партнерские программы на основе возрождающегося ботнета.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

«Эшелон» открыла онлайн-ресурс с базой уязвимостей Сканер-ВС 6/7

Разработчик средств информационной безопасности «Эшелон» запустил новый открытый ресурс — базу данных уязвимостей, которая используется в продуктах Сканер-ВС 6 и 7. На сайте собраны сведения более чем о 427 тысячах уязвимостей, база обновляется ежедневно.

Портал доступен по адресу https://vulnerabilities.etecs.ru.

Пользователи могут искать и просматривать уязвимости по идентификаторам CVE, BDU и другим стандартам.

Карточки содержат информацию о метриках CVSS и EPSS, типах дефектов по CWE, конфигурациях CPE 4.0, наличии эксплойтов и актуальных правилах детектирования. Также доступны ссылки на первоисточники и бюллетени безопасности. А настоящий момент база насчитывает более 427 тысяч записей об уязвимостях.

Сервис рассчитан на специалистов по информационной безопасности, которым важно иметь быстрый доступ к актуальной и проверенной информации об уязвимостях в используемом ПО — в том числе в российских операционных системах.

Появление открытого портала позволяет специалистам напрямую видеть, на каких данных работает Сканер-ВС, проверять актуальность информации и оценивать качество правил детектирования под разные конфигурации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru