Подсадная утка

Подсадная утка
Корпорация Microsoft опубликовала последнюю часть исследования, посвященного анализу майнингового вредоноса LemonDuck. Это активно развивающееся ПО, которое, как и многие на сегодняшний день направленные на массовое заражение вредоносы, за несколько лет значительно расширило свой функционал. LemonDuck приобрел не только возможность кражи учетных данных и доставки другого вредоносного ПО на устройство жертвы: майнер отличился умением отключать средства защиты, в том числе антивирусы, а также способностью устранять уязвимости, использованные злоумышленником для получения доступа к целевой системе.
LemonDuck прежде всего известен своей кроссплатформенностью. Первая документация по угрозе, нависшей над Linux и Windows системами, появилась в 2019 году, основной задачей ПО был криптомайнинг, хотя уже тогда его вредоносные кампании включали дополнительные сценарии PowerShell, такие как эксплуатация уязвимостей и брутфорс учетных записей, многие из которых обнаруживаются по сей день. Среди способов доставки ВПО исследователи выделяют фишинг и распространение через USB-носители и сетевые устройства. Обновленный функционал позволяет майнеру разместить в зараженной системе дополнительное вредоносное ПО, предоставить злоумышленникам удаленный доступ и, как следствие, подготовить плацдарм для проведения сложных целевых атак. В связи с этим Microsoft выделяет два типа инфраструктуры майнера под названиями Duck и Cat. Разница этих инфраструктур и действий киберпреступников, использующих их, заключается в используемых доменах, а также непосредственно характере вредоносных действий: стандартный майнинг (инфраструктура Duck) против комплексного подхода: доставка ВПО, компрометация учетных записей, эксплуатация уязвимостей и т.д. (инфраструктура Cat).
Рисунок 1. Инфографика атаки с участием LemonDuck из разных инфраструктур – Duck и Cat.
Кроме прочего, LemonDuck способен вытеснять из инфраструктуры жертвы конкурирующие вредоносные программы, патчить уязвимости в ОС, исключать возможность восстановления системы путем удаления теневых копий, а также отключать антивирусную защиту, например, добавляя в исключения антивируса целые тома (C:, D:, E:). Как комментирует Microsoft, попытки отключения антивируса возможны в продуктах ESET, Kaspersky, Avast, Norton Security и MalwareBytes и могут коснуться любого антивирусного решения, в названии которого есть слова Security и AntiVirus.
Стоит отметить, что операторы LemonDuck используют бесфайловые методы присутствия ВПО, включая сохранение сценария PowerShell через реестр, планировщик задач, автозагрузку, а также использование внедрения в сторонние процессы и выполнение кода в энергозависимой памяти, исключая необходимость в стабильном присутствии ПО в файловой системе, что затрудняет его обнаружение.
«Очень важно, что своевременное обнаружение подозрительного поведения на конечных точках поможет предупредить масштабное заражение. Для этого достаточно изолировать потенциально зараженное устройство от остальной части сети компании. Решения информационной безопасности для конечных точек помогают справиться с этой задачей, а достаточный уровень знаний в вопросах ИБ в высокой степени сокращает вероятность попадания вредоносной программы через наиболее популярные каналы проникновения, такие как электронная почта», – отмечает директор Центра управления сервисными проектами Angara Professional Assistance Евгений Ельцов.
Услуга «Антифишинг» из портфеля Angara Professional Assistance оснащена набором курсов для повышения уровня осведомленности пользователей в вопросах информационной безопасности, однако даже достаточный уровень цифровой грамотности работника рекомендуется подкреплять внутренней политикой безопасности компаний, в том числе касаясь вопросов использования внешних носителей информации (USB-устройств) как потенциального источника внешней угрозы безопасности. А применение технологий услуги защиты от сложных угроз и целенаправленных атак поможет нашим экспертам вовремя оповестить клиента о потенциально опасных действиях на критичных конечных устройствах и, при наличии возможности, среагировать на инцидент ИБ действием сетевой изоляции хоста.
За подробностями об услугах можно обратиться к разделу « Сервисы по модели Managed Security Services (MSS) » нашего сайта. Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group