Эти три грузчика стояли за 80% вторжений в этом году • The Register

Aug 04, 2023

Три вредоносных загрузчика — QBot, SocGholish и Raspberry Robin — ответственны за 80 процентов наблюдаемых атак на компьютеры и сети в этом году.

Магазин безопасности ReliaQuest сообщил в пятницу, что главными злодеями, которые должны быть обнаружены и заблокированы средствами ИТ-защиты, являются QBot (также известный как QakBot, QuackBot и Pinkslipbot), наиболее наблюдаемый загрузчик в период с 1 января по 31 июля, ответственный за 30 процентов вторжений. попытки зафиксированы. SocGholish занял второе место с 27 процентами, а Raspberry Robin — с 23 процентами. Остальные семь загрузчиков в линейке сильно отстают от тройки лидеров: Gootloader с 3 процентами, а также Guloader, Chromeloader и Ursnif с 2 процентами.

Как следует из названия, загрузчики представляют собой промежуточную стадию заражения вредоносным ПО. Загрузчик запускается на компьютере жертвы, например, злоумышленником, использующим какую-либо уязвимость или просто отправляющим электронное письмо с вредоносным вложением для открытия. Когда загрузчик запущен, он обычно закрепляется в системе, предпринимая шаги для поддержания устойчивости, и извлекает для выполнения основную полезную нагрузку вредоносного ПО, которая может быть программой-вымогателем, бэкдором или чем-то в этом роде.

Это дает командам некоторую гибкость после вторжения, а также помогает скрыть возможное вредоносное программное обеспечение, развернутое на машине. Возможность обнаружить и остановить загрузчик может остановить серьезное заражение вредоносным ПО в вашей организации.

Однако эти загрузчики вызывают мигрень у специалистов по безопасности, поскольку, как отмечает ReliaQuest, «защита одного загрузчика может не сработать для другого, даже если он загружает одно и то же вредоносное ПО».

Согласно анализу, QBot, который ReliaQuest называет «самым гибким», представляет собой банковский троян 16-летней давности, который с тех пор эволюционировал для доставки программ-вымогателей, кражи конфиденциальных данных, обеспечения горизонтального перемещения по средам организаций и удаленного развертывания кода. исполнительное программное обеспечение.

В июне группа по анализу угроз Black Lotus Labs компании Lumen обнаружила, что загрузчик использует новые методы доставки вредоносного ПО и инфраструктуру управления и контроля, причем четверть из них были активны всего один день. По мнению исследователей безопасности, такая эволюция, вероятно, стала ответом на прошлогодний шаг Microsoft по блокировке макросов из Интернета для пользователей Office по умолчанию.

«Гибкость QakBot была очевидна в реакции операторов на Microsoft Mark of the Web (MOTW): они изменили тактику доставки, предпочитая использовать контрабанду HTML», — сказал ReliaQuest. «В других случаях операторы QakBot экспериментировали с типами файлов для своих полезных данных, чтобы обойти меры по смягчению последствий».

Это включает в себя использование вредоносных файлов OneNote в своих фишинговых электронных письмах, как это было в случае с кампанией в феврале 2023 года, нацеленной на организации в США.

Загрузчик номер два, SocGholish, представляет собой фрагмент кода на основе JavaScript, предназначенный для Windows. Он был связан с российской корпорацией зла и брокером первичного доступа Exotic Lily, который взламывает корпоративные сети, а затем продает этот доступ другим преступникам.

SocGholish обычно развертывается посредством компрометации и кампаний социальной инженерии, выдавая себя за поддельное обновление, которое при загрузке помещает вредоносный код на устройство жертвы. По данным группы анализа угроз Google, в какой-то момент Exotic Lily отправляла более 5000 электронных писем в день примерно 650 целевым организациям по всему миру.

Прошлой осенью преступная группа, отслеживаемая как TA569, взломала более 250 газетных веб-сайтов США, а затем использовала этот доступ для предоставления читателям публикаций вредоносного ПО SocGholish посредством вредоносной рекламы и видеороликов на основе JavaScript.

Совсем недавно, в первой половине 2023 года, ReliaQuest отследила операторов SocGholish, осуществляющих «агрессивные атаки на водопои».

«Они скомпрометировали и заразили веб-сайты крупных организаций, занимающихся общими бизнес-операциями с прибыльным потенциалом», — заявили исследователи угроз. «Ничего не подозревающие посетители неизбежно загружали полезную нагрузку SocGholish, что приводило к массовому заражению».

Замыкает тройку лидеров Raspberry Robin, который также нацелен на системы Windows и произошел от червя, распространяющегося через USB-накопители.