Блицатаки Qbot: 30 минут на кражу учеток и писем, 50 — на заражение сети

Блицатаки Qbot: 30 минут на кражу учеток и писем, 50 — на заражение сети

Блицатаки Qbot: 30 минут на кражу учеток и писем, 50 — на заражение сети

Аналитики с тревогой отмечают, что Qbot стал действовать шустрее. Разбор октябрьских и февральских атак зловреда показал, что ему требуется всего полчаса, чтобы украсть сохраненные пароли из браузеров и письма из Outlook. А примерно через 50 минут после запуска он разбегается по сети, копируя себя на обнаруженные Windows-машины.

Атаки с использованием Qbot, он же QakBot, Quakbot и Pinkslipbot, эксперты наблюдают уже более десяти лет. Этот вредонос умеет воровать данные, регистрировать клавиатурный ввод, открывать бэкдор, а также самостоятельно распространяться по сети и развертывать в ней других зловредов, в том числе шифровальщиков.

После запуска Qbot внедряет свой код в процесс msra.exe (удаленный помощник Windows) и с его помощью создает в системе запланированное задание на повышение привилегий до уровня SYSTEM. После этого он приступает к разведке, используя различные утилиты Microsoft, и параллельно пытается получить доступ к службе LSASS, чтобы добраться до учетных данных пользователей системы.

Как оказалось, обновленный вредонос тратит на все это не больше 10 минут. На кражу данных из браузеров и Outlook у него уходит 30 минут; эту информацию злоумышленники могут в дальнейшем использовать для дальнейшего распространения Qbot через почту.

Чтобы избежать обнаружения, непрошеный гость добавляет свою DLL в список исключений Microsoft Defender. Выжав из зараженной системы все, что можно, зловред начинает распространять свои копии на другие компьютеры в сети, удаленно создавая сервис для запуска (исчезает после перезагрузки системы).

 

Основной способ распространения Qbot — спам-письма с вредоносной ссылкой или Excel-вложением с вредоносным макросом. Во избежание подобных атак Microsoft давно по умолчанию отключила макросы в Office, а теперь собирается и вовсе убрать кнопки, активирующие эту функциональность.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар запустила Solar DNS Radar для защиты от атак через DNS

Группа компаний «Солар» объявила о запуске сервиса Solar DNS Radar, который анализирует исходящий трафик и блокирует подключения к фишинговым доменам и серверам управления хакеров. По сути, это позволяет останавливать кибератаки ещё на раннем этапе — до того, как они успеют нанести ущерб.

По данным центра Solar 4RAYS, около 89% атак проходит именно через DNS-протокол — ту самую систему, которая сопоставляет адрес сайта с IP-адресом сервера.

Злоумышленники используют эту особенность, чтобы перенаправлять пользователей на поддельные сайты или поддерживать связь с вредоносами внутри инфраструктуры.

Solar DNS Radar в реальном времени фильтрует DNS-запросы, выявляет подозрительную активность и блокирует соединения с фишинговыми ресурсами, серверами управления (C2), доменами сгенерированными алгоритмами (DGA) и другими источниками, связанными с APT-группами. Кроме того, сервис можно использовать для ограничения доступа сотрудников к нежелательным сайтам.

В работе решения используются несколько подходов:

  • блокировка доступа к недавно зарегистрированным доменам (Zero Trust),
  • данные о киберугрозах из сервиса Solar TI Feeds,
  • аналитика сенсоров «Ростелекома» и телеметрия сервисов Solar JSOC,
  • результаты расследований Solar 4RAYS,
  • алгоритмы ИИ для точного распознавания атак и снижения ложных срабатываний.

Сервис доступен в трёх вариантах: как облачное решение (SaaS), как управляемый сервис с настройкой от специалистов «Солара» (MSS) или как локальная установка (on-prem) на стороне заказчика.

По словам разработчиков, Solar DNS Radar может быть полезен и небольшим компаниям, которые только начинают выстраивать процессы безопасности, и крупным организациям, которым важно разгрузить SOC и быстро закрыть «серые зоны» в инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru