Группировка BlueNoroff использует новые методы для обхода MOTW - «Новости»

  • 10:30, 07-янв-2023
  • Изображения / Новости / Преимущества стилей / Отступы и поля / Типы носителей / Текст / Интернет и связь
  • Антон
  • 0

Специалисты «Лаборатории Касперского» опубликовали отчет, посвященный активности северокорейской хак-группы BlueNoroff. По их данным, хакеры усилили атаки на организации, работающие с криптовалютами (венчурные фонды, криптостартапы и банки) и используют новые типы файлов для обхода защиты Mark of the Web (MOTW).


Исследователи рассказали, что минувшей осенью им удалось обнаружить новые «ловушки», которые BlueNoroff расставили на сотрудников стартапов: 70 поддельных доменов, мимикрирующих под известные венчурные фонды и банки, в основном японские, но также американские, вьетнамские и из ОАЭ. Так, фиктивные домены имитировали ABF Capital, Angel Bridge, ANOBAKA, Bank of America и Mitsubishi UFJ Financial Group.


Фишинговые атаки группировки строятся по следующей схеме.  Сотрудник отдела продаж финансовой организации получает письмо с вложенным документом в формате . doc (якобы контрактом от клиента). Если открыть этот файл, устройство сразу же будет заражено малварью и атакующие смогут отслеживать все ежедневные операции и планировать кражу. В тот момент, когда сотрудник зараженной компании пытается перевести крупную сумму в криптовалюте, злоумышленники вмешиваются в процесс транзакции, подменят адрес получателя и повысят лимит перевода, мгновенно опустошив счет.


В отчете отмечается, что в последнее время участники BlueNoroff активно экспериментируют и тестируют новые методы доставки вредоносного ПО с помощью типов файлов, которые ранее не использовались для этих целей. Например, Visual Basic Script, Windows Batch и исполняемые Windows -файлы.


Кроме того, злоумышленники научились обходить защитную функцию Mark of the Web (MOTW). Дело в том, что Microsoft добавляет специальный флаг MOTW к файлам, загруженным из интернета (в том числе к вложениям из электронной почты). И когда пользователь открывает документ Microsoft Office, содержащий такую отметку, тот открывается в режиме Protected View, где предотвращается выполнение макросов, устанавливающих вредоносное ПО.


Однако таким образом помечаются не все файлы. Эксперты говорят, что для обхода этой блокировки, многие хак-группы, включая BlueNoroff, стали внедрять малварь в изображения, в файлы образом (.iso) и виртуальных жестких дисков (.vhd).



Схема атак

Специалисты «Лаборатории Касперского» опубликовали отчет, посвященный активности северокорейской хак-группы BlueNoroff. По их данным, хакеры усилили атаки на организации, работающие с криптовалютами (венчурные фонды, криптостартапы и банки) и используют новые типы файлов для обхода защиты Mark of the Web (MOTW). Исследователи рассказали, что минувшей осенью им удалось обнаружить новые «ловушки», которые BlueNoroff расставили на сотрудников стартапов: 70 поддельных доменов, мимикрирующих под известные венчурные фонды и банки, в основном японские, но также американские, вьетнамские и из ОАЭ. Так, фиктивные домены имитировали ABF Capital, Angel Bridge, ANOBAKA, Bank of America и Mitsubishi UFJ Financial Group. Фишинговые атаки группировки строятся по следующей схеме. Сотрудник отдела продаж финансовой организации получает письмо с вложенным документом в формате . doc (якобы контрактом от клиента). Если открыть этот файл, устройство сразу же будет заражено малварью и атакующие смогут отслеживать все ежедневные операции и планировать кражу. В тот момент, когда сотрудник зараженной компании пытается перевести крупную сумму в криптовалюте, злоумышленники вмешиваются в процесс транзакции, подменят адрес получателя и повысят лимит перевода, мгновенно опустошив счет. В отчете отмечается, что в последнее время участники BlueNoroff активно экспериментируют и тестируют новые методы доставки вредоносного ПО с помощью типов файлов, которые ранее не использовались для этих целей. Например, Visual Basic Script, Windows Batch и исполняемые Windows -файлы. Кроме того, злоумышленники научились обходить защитную функцию Mark of the Web (MOTW). Дело в том, что Microsoft добавляет специальный флаг MOTW к файлам, загруженным из интернета (в том числе к вложениям из электронной почты). И когда пользователь открывает документ Microsoft Office, содержащий такую отметку, тот открывается в режиме Protected View, где предотвращается выполнение макросов, устанавливающих вредоносное ПО. Однако таким образом помечаются не все файлы. Эксперты говорят, что для обхода этой блокировки, многие хак-группы, включая BlueNoroff, стали внедрять малварь в изображения, в файлы образом (.iso) и виртуальных жестких дисков (.vhd). Схема атак

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!