Топ-5 событий в области информационной безопасности за неделю по версии Jet CSIRT

Главное:

• Группировка Head Mare усиливает кибератаки на разные российские компании.
• Обнаружена новая фишинговая кампания группы Cloud Atlas, нацеленная на государственные организации России и Белоруссии.
• Появление нового кроссплатформенного трояна и Linux-руткита Pumakit ставит под угрозу безопасность систем.

Усиление атак группировки Head Mare

Недавний анализ, проведенный экспертами из исследовательской лаборатории Cyble, сообщил о нарастании атак со стороны группировки Head Mare на российские компании. Основными целями этой группировки являются учреждения из различных секторов, включая правительство, транспорт, энергетику и развлекательную индустрию. Тактика, используемая преступниками, включает фишинговые сообщения с ZIP-архивами, содержащими вредоносные файлы, которые запускают команды в PowerShell. Это создаёт канал для передачи данных на сервер злоумышленников и позволяет исполнять произвольные команды на заражённых устройствах. Эксперты подчеркивают важность обучения сотрудников, защиты конечных устройств и мониторинга сетевой активности для минимизации рисков. Исследования показывают, что обучение пользователей может значительно снизить вероятность успешного выполнения фишинговых атак.

Фишинговая кампания Cloud Atlas

Команда Positive Technologies представила результаты анализа новой фишинговой кампании, связанной с группировкой Cloud Atlas. Основное внимание на этом этапе уделяется целевым атакам на сотрудников государственных организаций России и Белоруссии. Злоумышленники используют word-документы, которые оформлены под официальные запросы, и включают в себя ссылки на вредоносные шаблоны, эксплуатирующие уязвимости программного обеспечения Microsoft. Это позволяет им загружать вредоносные инструменты, такие как бэкдор PowerShower, что значительно увеличивает масштабы атак и усложняет защиту. Специалисты отмечают, что такие методы продолжают эволюционировать, и рекомендуют организациям внедрять эффективные системы обнаружения и реагирования на инциденты.

Новые вредоносные программы и их влияние

Недавно были выявлены два серьёзных новых угрозы, в том числе кроссплатформенный троян и Linux-руткит Pumakit. Анализ выявил, что Trojan.Siggen28.58279 использует сложные технологии туннелирования, позволяющие ему обходить системы безопасности и поддерживать связь с командным сервером через приватные сети. Мы видим, как злоумышленники тщательно скрывают свои действия и используют известных программ, таких как Visual Studio Code, для маскировки своих операций.

Руткит Pumakit, в свою очередь, демонстрирует высокую степень сложности и возможность скрытия своих следов от системных инструментов и антивирусов, что говорит о его высокой опасности. Это подчеркивает важность применения передовых методов защиты и регулярного обновления антивирусного программного обеспечения.

Статистика показывает, что средняя стоимость утечки данных для компании составляет около 3,86 миллиона долларов, а время реагирования на инциденты зачастую приводит к длительным простоям и потерям в доходах.
Таким образом, эксперты подчеркивают необходимость постоянного мониторинга киберугроз и актуализации методов защиты для обеспечения безопасности в современных условиях.