Вымогательские шипы CACTUS прорастают в целевых сетях благодаря вредоносной рекламе

Microsoft Microsoft Threat Intelligence DanaBot QakBot CACTUS Storm-0216 Twisted Spider UNC2198 Mandiant Arctic Wolf Qlik Sense RDP вымогательское ПО инфостилер бэкдор
Вымогательские шипы CACTUS прорастают в целевых сетях благодаря вредоносной рекламе
Microsoft Microsoft Threat Intelligence DanaBot QakBot CACTUS Storm-0216 Twisted Spider UNC2198 Mandiant Arctic Wolf Qlik Sense RDP вымогательское ПО инфостилер бэкдор

Группировка Twisted Spider активно использует троян DanaBot как канал доставки опасного вредоноса.

image

Корпорация Microsoft сообщила о новой волне атак программ-вымогателей CACTUS, использующих вредоносную рекламу для развёртывания инструмента DanaBot в качестве начального вектора доступа.

Буквально несколько дней назад специалисты Arctic Wolf уже рассматривали схожую кампанию, эксплуатирующую уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды и заражения вымогателем CACTUS, однако отличий в этих киберинцидентах больше, чем может показаться на первый взгляд.

Эксперты Microsoft Threat Intelligence отмечают, что заражения вредоносом DanaBot, который является многофункциональным инструментом, способным действовать как инфостилер и бэкдор, привели к активным действиям со стороны хакеров Storm-0216 (Twisted Spider, UNC2198). В итоге это привело к распространению вымогательского софта CACTUS, о чём компания сообщила в серии публикаций на запрещённой платформе.

DanaBot во многом аналогичен таким инструментам, как Emotet, TrickBot, QakBot и IcedID. Более того, за группировкой Storm-0216 ранее уже было замечено использование IcedID для развёртывания таких семейств программ-вымогателей, как Maze и Egregor, о чём подробно рассказывала компания Mandiant в феврале 2021 года.

По данным Microsoft, в рассмотренной кампании злоумышленники также поначалу использовали первоначальный доступ, предоставленный QakBot. Оперативный переход на DanaBot, вероятно, связан с координированной операцией правоохранительных органов в августе 2023 года, которая привела к ликвидации инфраструктуры QakBot.

Собранные при помощи DanaBot учётные данные, как правило, передаются на сервер злоумышленников, после чего следует боковое перемещение через RDP с последующим шифрованием данных.

Новая волна кибератак группировки Storm-0216 демонстрирует постоянную изобретательность злоумышленников в обходе защитных мер и использовании новых инструментов, таких как DanaBot. Компаниям необходимо регулярно обновлять свои системы безопасности и следить за последними угрозами, чтобы защитить свои данные.

Бдительность и проактивный подход к кибербезопасности — это единственный надёжный способ противостоять всё более изощренным атакам киберпреступников.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Новости по теме

Исходный код MS-DOS 4.0 опубликовали на GitHub

9.8 из 10: свыше 200 тысяч веб-сайтов под угрозой взлома из-за уязвимостей в Forminator

Microsoft не смогла изъять свою новую модель WizardLM 2 из публичного доступа

IT-профессионалы на мушке: бэкдор MadMxShell прячется в легитимных сетевых инструментах

85% рынка в руках Microsoft: как корпорация стала главной опасностью для США

5,5 млн попыток взлома: плагин WP Automatic стал обузой для 30 000 сайтов WordPress

Phi-3: как маленькая, но мощная ИИ-модель от Microsoft преобразует бизнес

APT29 атакует пользователей Windows через лазейку в Диспетчере очереди печати

ToddyCat: хакеры плотно нацелились на правительства азиатских стран