Россиян атакует Windows-троян SteelFox — инфостилер в связке с майнером

Россиян атакует Windows-троян SteelFox — инфостилер в связке с майнером

Россиян атакует Windows-троян SteelFox — инфостилер в связке с майнером

В период с августа по октябрь 2024 года в «Лаборатории Касперского» зафиксировали более 11 тыс. атак неизвестного ранее трояна по клиентской базе. Анализ показал, что Windows-зловред, нареченный SteelFox, обладает функциями стилера и майнера.

Дроппер SteelFox распространяется в связке с активатором популярных программ через публикации на форумах, торрент-трекерах и в блогах. В ходе исследования были обнаружены троянизированные кейгены для AutoCAD, Foxit PDF Editor и софта JetBrains.

Заражение осуществляется в несколько этапов с использованием промежуточного загрузчика. Примечательно, что вредонос умеет повышать свои привилегии до NT\SYSTEM через эксплойт уязвимостей в драйверах — CVE-2020-14979 и CVE-2021-41285.

Криптомайнер (модифицированный XMRig) подгружается с GitHub. Компонент-стилер собирает информацию о системе и сети (включая пароли Wi-Fi), данные из браузеров, в том числе Яндекс Браузера (куки, местоположение, история поиска, банковские карты), сведения о RDP-сессиях и установленных программах, включая антивирусы (AVG, Avast).

Украденные данные отправляются на командный сервер в виде большого файла JSON. Связь с C2 осуществляется с использованием TLS 1.3 и технологии закрепления сертификатов (certificate pinning) для защиты трафика от перехвата.

 

«Злоумышленники пытаются получить максимальную выгоду от своих действий, — пояснил Дмитрий Галов, руководитель Kaspersky GReAT в России. — Например, известны зловреды, которые сочетали в себе функциональность майнера и шифровальщика: атакующие зарабатывали на работе майнера, пока ждали выкуп за расшифровку данных. SteelFox — наглядный пример того, как злоумышленники могут попытаться монетизировать как вычислительные мощности устройства, так и его содержимое».

Расследование показало, что вредоносная кампания была запущена в феврале 2023 года. Наибольшее количество заражений зафиксировано в Бразилии, Китае и России.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Каждая вторая атака привела к нарушений бизнес-процессов

Специалисты отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) представили на SOC-форуме статистику по итогам проектов по расследованию киберинцидентов. Всего количество таких проектов по сравнению выросло втрое по сравнению с предшествующим периодом.

Среди отраслей в тройку лидеров вошли промышленность (23% инцидентов), госсектор (22%) и ИТ (13%). Руководитель Отдела реагирования PT ESC Денис Гойденко особо отметил большой рост атак на ИТ-компании. Они, в отличие от компаний других отраслей, не повысили уровень защищенности своей инфраструктуры, чем пользуются злоумышленники. Плюс ко всему атаки на ИТ «популярны» у злоумышленников при попытках проникнуть в системы их заказчиков.

Как правило, за атаками стояла одна из 17 известных кибергруппировок. 39% атак были политически мотивированы, в 35% инцидентов речь шла о финансовых мотивациях. Без малого четверть инцидентов не удалось атрибутировать.

В 47% инцидентов хакеры достигали своих целей из-за того, что атакованная инфраструктура базировалась на устаревшем ПО. Более 40% инцидентов были связаны с отсутствием многофакторной аутентификации, ненамного меньше — недостаточной сегментацией сети.

Эксперты отмечают существенный рост востребованности отечественными компаниями работ по расследованию инцидентов. За последние два года их количество увеличилось в три раза.

«По сравнению с 2021–2023 годами доля проектов, в которых инцидент нарушил  внутренние бизнес-процессы, выросла с 32% до 50%. Мы предполагаем, что это связано с увеличением интенсивности атак со стороны хактивистов и финансово мотивированных злоумышленников. В 19% проектов были обнаружены следы разведывательной активности и шпионажа, за которыми, как правило, стоят APT-группировки. В 12% случаев злоумышленники пытались выгрузить конфиденциальную информацию, не желая при этом надолго оставаться в инфраструктуре. Как и прежде, злоумышленники чаще всего атаковали узлы под управлением Windows, однако и доля узлов под управлением Linux довольно высока (28%)», — сказала Яна Авезова, старший аналитик исследовательской группы Positive Technologies.

«Количество атак через подрядчиков за год увеличилось до 15%; среди этих подрядчиков многие предоставляют услуги десяткам клиентов. Несмотря на то, что доля таких атак пока небольшая, реальный и потенциальный ущерб от взлома доверенных, но незащищенных партнеров приобретает лавинообразный характер, — прокомментировал Денис Гойденко, руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies. — Если говорить о способах получения первоначального доступа, самым распространенным остается эксплуатация уязвимостей в веб-приложениях. За последний год на первое место вышли сайты под управлением CMS „1C-Битрикс“ — 33% от всех атак, где в качестве исходного вектора проникновения использовались уязвимые веб-приложения. Доля исходных векторов, связанных с почтовым сервером Microsoft Exchange, снизилась с 50% до 17%».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru