Google предупреждает, что уязвимости Windows и LinkedIn используются в атаках программ-вымогателей Conti

Google предупреждает, что уязвимости Windows и LinkedIn используются в атаках программ-вымогателей Conti. Фото: Pixabay

Брокер начального доступа, работающий от имени группы вымогателей Conti (среди прочих), каждый день атакует сотни организаций, используя уязвимость в MSHTML, проприетарном движке браузера для Windows, сообщает Techradar со ссылкой на исследователей Google.

Специалисты обнаружили группу, получившую название «Экзотическая лилия», которая работала в качестве брокера первоначального доступа, взламывая целевые сети, прежде чем продать полученный доступ тому, кто предложит самую высокую цену.

Операторы программ-вымогателей часто передают первоначальные усилия по доступу на аутсорсинг, чтобы полностью сосредоточиться на распространении самой программы- вымогателей и последующему принуждению к выплате выкупа.

Обнаруженная группа хакеров была относительно продвинутой в своей тактике и использует «необычное» количество черновой работы для массовой операции.

Злоумышленники использовали подделку домена и удостоверения личности, чтобы выдать себя за законный бизнес, и рассылали фишинговые электронные письма, подделывая деловое предложение. Они также применяли общедоступные инструменты искусственного интеллекта (ИИ) для создания подлинных изображений людей и создания поддельных учетных записей LinkedIn, что повышало доверие к кампании. 

После первоначального контакта хакер загружает вредоносное ПО в общедоступную службу обмена файлами, например WeTransfer, чтобы избежать обнаружения антивирусными программами и повысить вероятность доставки в целевую конечную точку. Вредоносное ПО, обычно являющееся документом, предназначенным для использования в качестве оружия, использует уязвимость нулевого дня в движке браузера Microsoft MSHTML, отслеживаемую как CVE-2021-40444. На втором этапе развертывания обычно использовался BazarLoader.

Исследователи Google считают, что группа стоит особняком и работает на того, кто предложит более высокую цену. До сих пор она был связана с Conti, Diavol, Wizard Spider (предполагаемый оператор программы-вымогателя Ryuk). 

Группа была впервые обнаружена в сентябре прошлого года и при максимальной производительности может отправить более 5000 фишинговых писем в более чем 650 организаций, утверждают в Google. Похоже, что злоумышленники сосредоточены на атаках фирм в сфере ИТ, кибербезопасности и здравоохранения, хотя в последнее время это круг расширяется. 

Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Ботнет Linux использует log4j для атаки на устройства на базе Arm и x86.
• Магазин Google Play наполнен троянами.
• Тысячи облачных баз данных мобильных приложений остались доступными в Интернете.
• Инструменты разработчика 1Password упростят и усилят защиту конфидента.