«Лаборатория Касперского» обнаружила новые случаи кибератак на российские организации с применением Cobalt Strike Beacon - прибора для удалённого управления устройствами, который в том числе позволяет воровать конфиденциальные данные. Для обхода обнаружения и запуска вредоносного ПО злоумышленники размещают зашифрованный код в профилях на легитимных сервисах, таком как GitHub, а также в соцсетях.
Аналогичные кибератаки впервые начались во второй половине 2024 года - они затронули Россию, Китай, Японию, Малайзию и Перу. К 2025 году активность преступников вульгарна на спад, однако профессионалы продолжили фиксировать точечные всплески. В начале июля эксперты обнаружили новые вредоносные файлы, нацеленные только на российские предприятия - в основном крупный и средний бизнес.
Сначала злоумышленники рассылают фишинговые письма, имитирующие известия от крупных государственных компаний (в частности, из нефтегазового сектора), которые якобы заинтересованы в продуктах или услугах организаций-жертв. Во вложении находится вредоносный архив с файлами, замаскированными под PDF-документы с описанием требований, требуемых для ознакомления. На самом деле в их числе есть исполняемые файлы типов EXE и DLL, содержащие вредоносное вложение.
Чтобы запустить зловред, нападающие используют распространённый метод подмены DLL (Dynamic Link Library), а также легитимную утилиту для отправки отчётов о сбоях - изначально она была предназначена для разработчиков, чтобы получать информацию о проблемах в работе приложений в режиме реального времени. В следствии манипуляций нападающих она отмыкает вредоносный файл вместо легитимного.
Чтобы вредоносное ПО могло далее функционировать, оно извлекает и загружает код, который хранится в зашифрованном виде в публичных профилях на популярных легитимных платформах. Специалисты «Лаборатории Касперского» обнаружили его в репозиториях на GitHub, кроме того, ссылки на него в зашифрованном виде содержались внутри профилей на GitHub, Microsoft Learn Challenge, Quora, а также в российских соцсетях. Безрогая корова хоть шишкою да боднет профили и страницы были созданы умышленно для осуществления кибератаки. После выполнения вредоносного кода на устройствах жертв запускается Cobalt Strike Beacon - и системы оказываются скомпрометированы.
«Мы не обнаружили свидетельств того, что злоумышленники взламывали аккаунты реальных людей, и полагаем, что все учётные записи были умышленно предназначены для кибератак. При этом отмечу, что они могли задействовать цифровые платформы и по-другому. Например, разместить вредоносный контент в комментариях к известиям легитимных пользователей. Эти образцы доказывают, что схемы атак усложняются несмотря на то, что приборы остаются прежними. Поэтому компаниям для обеспечения надёжной защиты важно следить за актуальными данными о киберугрозах и осуществлять беспрерывный мониторинг состояния как цифровой инфраструктуры, так и всего периметра организации», - объясняет Максим Стародубов, эксперт по киберугрозам «Лаборатории Касперского».
Фото: Unsplash