BlackCat маскирует вредоносный загрузчик Nitrogen под популярный корпоративный софт

BlackCat маскирует вредоносный загрузчик Nitrogen под популярный корпоративный софт

Поддельная реклама стала новым вектором атаки для известной вымогательской группировки.

image

Киберпреступные объединения, действующие в рамках вымогательской операции BlackCat (ALPHV), перешли на новую тактику — использование вредоносной рекламы для получения первоначального доступа к системам жертв.

Под видом популярного бизнес-софта, такого как корпоративный мессенджер Slack или VPN-клиент AnyConnect от Cisco, злоумышленники распространяют вредоносную программу Nitrogen, которая служит для установления первоначального контроля над системой и последующего запуска вымогательского ПО.

Как сообщает команда реагирования на угрозы eSentire, её клиенты неоднократно подвергались атакам аффилированных групп ALPHV/BlackCat. Кампания с использованием Nitrogen была впервые зафиксирована в июне, однако применение вредоносной рекламы для её распространения — новая тактика.

«Nitrogen — это ПО для первоначального проникновения, использующее библиотеки Python для скрытности», — поясняет Киган Кеплингер, старший исследователь угроз в eSentire. «Этот плацдарм обеспечивает злоумышленникам первоначальный вход в IT-среду целевой организации».

Как только хакеры закрепляются в сети атакуемой компании, они могут заразить её любым вредоносным ПО по своему выбору. В рамках рассмотренной операции этим ПО была программа-вымогатель ALPHV/BlackCat.

Использование популярных Python-библиотек помогает скрыть следы вторжения в обычном трафике. В то время как дополнительные методы обфускации ещё больше затрудняют обнаружение атаки.

Группа BlackCat известна в киберпреступном сообществе практически полным отсутствием чести и моральных принципов. Так, вымогательское ПО банды не раз использовалось в атаках на медицинские учреждения, что считается неприемлемым среди многих киберпреступников. В начале этого года хакеры и вовсе пытались шантажировать одну из больниц, опубликовав обнажённые фотографии пациенток с раком груди.

Для контраста, вымогательская группировка LockBit уже неоднократно приносила публичные извинения за действия своих аффилиатов. Так, в январе хакеры предоставили дешифратор атакованному «по ошибке» детскому госпиталю в Канаде, а в апреле ситуация повторилась для американского школьного округа Olympia Community Unit 16.

Возвращаясь к группировке BlackCat, можно отметить, что в последнее время она демонстрирует стремление развиваться и укреплять свои позиции. Недавно руководители группы приняли в свою партнёрскую программу хакерскую группировку Octo Tempest, богатый опыт которой в области SIM-свопинга, смс-фишинга и социальной инженерии оказался достаточно привлекательным для BlackCat, чтобы предложить группировке сотрудничество.

Таким образом, несмотря на предпринимаемые меры безопасности, BlackCat продолжает эволюционировать и адаптироваться к новым условиям. Их последняя тактика с вредоносной рекламой демонстрирует изощрённость и гибкость подхода группы.

Компаниям необходимо усилить мониторинг на предмет подозрительной активности и инвестировать в надёжные средства защиты, чтобы не стать следующей жертвой этой беспринципной группы киберпреступников.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь