По данным исследователей угроз из компании ReliaQuest, занимающейся ИТ-безопасностью, три загрузчика вредоносных программ, QakBot, SocGholish и Raspberry Robin, наносят ущерб в 80 процентах инцидентов.
Загрузчики вредоносных программ используются в качестве средств доставки и выполнения других форм вредоносных программ, таких как программы-вымогатели, вирусы, трояны или черви. Они являются одним из наиболее распространенных инструментов, которые злоумышленники используют для доставки полезных данных на начальных этапах кибератаки.
Исследователи ReliaQuest изучили наиболее распространенные варианты в потребительских средах и обнаружили, что всего три загрузчика вредоносных программ были ответственны за большинство инцидентов с начала года.
Загрузчики вредоносных программ представляют собой сложную задачу для команд по кибербезопасности, поскольку даже если загружено одно и то же вредоносное ПО, меры по смягчению последствий для одного загрузчика могут не сработать для другого.
Тот факт, что был обнаружен загрузчик вредоносного ПО, не означает, что целевая сеть была скомпрометирована; в большинстве наблюдаемых случаев загрузчик вредоносного ПО был обнаружен и остановлен на ранней стадии цепочки уничтожения. Но крайне важно не игнорировать ни одну угрозу загрузчика, особенно три самые популярные.
Но что мы знаем об основных виновниках — QakBot (QBot, QuackBot, Pinkslipbot), SocGholish и Raspberry Robin?
Судя по последним тенденциям, вполне вероятно, что эти загрузчики и дальше будут представлять угрозу для организаций.
QakBot быстро меняется
QakBot, связанный с группой вымогателей Black Basta, был разработан как банковский троян, а затем обновлен новыми функциями и стал универсальным и распространенным вредоносным ПО.
QakBot используется для обеспечения первоначального доступа к целевой сети, а также обеспечивает удаленный доступ к полезной нагрузке, крадет конфиденциальные данные и облегчает горизонтальное перемещение и удаленное выполнение кода.
Обычно QakBot доставляется через фишинговые электронные письма, которые предлагают получателям индивидуальные приманки, такие как рабочие задания, срочные запросы, счета, вложения файлов или гиперссылки. Полезная нагрузка загружается в виде файла PDF, HTML или OneNote.
Затем QakBot использует файлы WSF, JavaScript, Batch, HTA или LNK, которые при запуске обычно обеспечивают постоянство с помощью запланированного задания или ключа запуска реестра.
Операторы QakBot изобретательны и способны быстро реагировать или менять свои стратегии доставки. Это вредоносное ПО представляет собой постоянно развивающуюся и постоянную угрозу, предназначенную для произвольного нападения на любую отрасль или регион.
SocGholish, один пользователь может повлиять на всю систему
SocGholish, также известный как FakeUpdates, маскируется под законные обновления программного обеспечения. Этот загрузчик вредоносного ПО JavaScript предназначен для сред на базе Microsoft Windows и доставляется посредством атаки Drive-By (загружается без взаимодействия с пользователем).
Посетителей обширной сети зараженных веб-сайтов обманом заставляют загружать «обновления», часто соблазняемые устаревшими запросами браузера или другими обновлениями для Microsoft Teams и Adobe Flash.
SocGholish связан с Evil Corp, российской финансово мотивированной киберпреступной организацией. Типичными целями являются услуги по размещению и питанию, розничная торговля и юридические услуги, преимущественно в США.
SocGholish также связан с Exotic Lily, агентом первичного доступа, который проводит сложнейшие фишинговые кампании с целью получить первоначальный доступ и продать его группам программ-вымогателей или другим субъектам угроз.
Операторы SocGholish используют убедительные тактики социальной инженерии, и осведомленность имеет решающее значение для минимизации этой угрозы.
Его обширная сеть распространения вредоносного ПО работает на зараженных веб-сайтах и в социальной инженерии; всего четыре щелчка мышью пользователя могут за несколько дней повлиять на весь домен компьютерной системы или сеть.
Малиновый Робин – универсал.
Связанный с различными мощными вредоносными группировками, включая Evil Corp и Silence (Whisper Spider), Raspberry Robin представляет собой крайне неуловимый червь-загрузчик, нацеленный на среду Microsoft Windows.
После первоначального заражения через вредоносное USB-устройство в игру вступают превосходные возможности распространения cmd.exe, когда он запускается на зараженном USB-устройстве и запускает файл LNK.
Файл LNK содержит команды, которые запускают собственный процесс Windows, например msiexec.exe, для инициирования исходящего соединения для загрузки DLL Raspberry Robin.
Помимо инструмента Cobalt Strike, Raspberry Robin использовался для распространения нескольких программ-вымогателей и других вариантов вредоносных программ, таких как «Cl0p», «LockBit», «TrueBot» и «Flawed Grace».
В 2023 году операторы Raspberry Robin нацелены на финансовые учреждения, телекоммуникационные, государственные и производственные организации.
Raspberry Robin — очень полезное дополнение к арсеналу злоумышленников, помогающее установить начальную точку опоры в сети и доставлять различные формы полезной нагрузки.
Как защититься от вредоносных загрузчиков?
Существует несколько шагов, которые помогут минимизировать угрозу со стороны загрузчиков вредоносных программ. Вот рекомендации ReliaQuest:
Настройте объект групповой политики (GPO), чтобы изменить механизм выполнения по умолчанию для файлов JS с Wscript на «Блокнот», а также любые другие файлы сценариев, которые вы считаете подходящими. Это предотвратит выполнение этих файлов на хосте.
Блокирует входящую электронную почту с расширениями файлов, которые обычно используются для доставки вредоносного ПО.
Ограничьте произвольные подключения корпоративных ресурсов к Интернету с помощью конфигураций брандмауэра или прокси-сервера, чтобы свести к минимуму активность вредоносных программ и C2.
Ограничьте использование программного обеспечения для удаленного доступа, за исключением случаев, когда это абсолютно необходимо для личной работы, или усилите мониторинг для выявления злоупотреблений. Киберпреступники, особенно IAB и операторы программ-вымогателей, любят использовать это программное обеспечение для получения и поддержания доступа к сетям.
Отключите монтирование ISO — более надежный способ обойти антивирус или средства обнаружения конечных точек.
Внедрите контроль доступа USB и объекты групповой политики, чтобы предотвратить выполнение команд автозапуска. Если позволяют бизнес-условия, рассмотрите возможность отключения доступа к съемным носителям.
Научите сотрудников распознавать тактики социальной инженерии, используемые в Интернете, и откройте для них соответствующие каналы, чтобы сообщать о подозрительных электронных письмах или других действиях.