Дайджест Jet CSIRT [31.12.2021 - 10.01.2022]

31.12.2021

Группировка Patchwork заразила собственные компьютеры вредоносным ПО

 

Промах APT-группировки был замечен командой исследователей из Malwarebytes. В своем отчете специалисты указали, что вся используемая информация была получена благодаря тому, что злоумышленники заразили собственные устройства трояном, что позволило исследователям получить скриншоты экранов и записанные нажатия клавиш. Patchwork была замечена в атаках на отрасли, связанные с дипломатическими и государственными учреждениями. Большая часть кода, используемого при атаках, была скопирована ​​с различных онлайн-форумов.


Хакеры рассылают вредоносные ссылки через электронные письма с комментариями в Google Doc

 

Исследование, проведенное компанией Avanan, показало, что хакеры все чаще используют функции повышения производительности Google Docs для обхода спам-фильтров и инструментов безопасности с целью доставки вредоносного контента. В ходе атаки злоумышленники добавляют комментарий к документу Google, упоминая цель через @. Электронное письмо, содержащее полный комментарий, включая вредоносные ссылки и текст, автоматически отправляется в почтовый ящик жертвы. Кроме того, в письме не отображается адрес отправителя, что дает возможность злоумышленнику представиться кем угодно.


Злоумышленники распространяют вредоносную версию отладчика dnSpy

dnSpy обычно используется исследователями при анализе вредоносных программ и программного обеспечения .NET. Исходный код и разрабатываемая версия инструмента доступны на GitHub для клонирования и изменения любым пользователем. Хакеры создали фейковый репозиторий с скомпилированной версией dnSpy, которая устанавливает стилеры криптовалюты, трояны удаленного доступа Quasar и майнеры. Вредоносная активность была обнаружена исследователями безопасности 0day enthusiast и MalwareHunterTeam, которые увидели вредоносный проект dnSpy, первоначально размещенный на https://github[.]com/carbonblackz/dnSpy/, а затем на https://github[.]com/isharpdev/dnSpy чтобы выглядеть более легитимно.


Хакеры FIN7 используют BadUSB для установки программ-вымогателей

Группировка FIN7 отправляла вредоносные USB-устройства сотрудникам американских компаний с целью заражения систем вымогательским ПО. Получатели подключали флешки к своим компьютерам, после чего USB-накопитель регистрировал себя как клавиатуру и отправлял серию предварительно заданных команд, загружающих и устанавливающих вредоносное ПО. Таким образом киберпреступники получали административный доступ к машине, а затем перемещались на другие локальные системы.