Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware LeakNet izspiedējvīruss

LeakNet izspiedējvīruss

Līdz Mezo. gadam Ransomware, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Izspiedējvīrusu operācija LeakNet ir ieviesusi ievērojamu ielaušanās taktikas evolūciju, izmantojot ClickFix sociālās inženierijas metodi kā galveno iekļūšanas vektoru. Šī pieeja manipulē ar lietotājiem, liekot tiem izpildīt ļaunprātīgas komandas, aizbildinoties ar safabricētu sistēmas kļūdu novēršanu. Atšķirībā no tradicionālajām piekļuves metodēm, piemēram, zagtu akreditācijas datu iegādes no sākotnējiem piekļuves brokeriem, šī taktika tieši izmanto lietotāju uzticību un ierasto uzvedību.

Apdraudētas, bet citādi likumīgas tīmekļa vietnes tiek izmantotas kā ierocis, lai piegādātu viltotus CAPTCHA verifikācijas uzvednes. Šīs uzvednes liek lietotājiem kopēt un izpildīt ļaunprātīgu msiexec.exe komandu, izmantojot Windows palaišanas dialoglodziņu. Tā kā mijiedarbība atdarina ikdienas sistēmas darbību, uzbrukums šķiet ikdienišķs un nerada tūlītējas aizdomas. Šī plašā, oportūnistiskā stratēģija ļauj mērķēt uz vairākām nozarēm bez diskriminācijas.

Stratēģiska maiņa: neatkarība no sākotnējiem piekļuves brokeriem

LeakNet pāreja uz ClickFix atspoguļo aprēķinātas darbības pārmaiņas. Atteikšanās no trešo pušu akreditācijas datu piegādātājiem grupa samazina gan piekļuves iegūšanas izmaksas, gan kavēšanos. Šī neatkarība novērš būtisku sašaurinājumu, ļaujot kampaņām mērogoties ātrāk un efektīvāk.

Turklāt kompromitētas likumīgas infrastruktūras izmantošana, nevis uzbrucēju kontrolētas sistēmas, ievērojami samazina nosakāmo tīkla indikatoru skaitu. Tas padara tradicionālās uz perimetru balstītās aizsardzības mazāk efektīvas, jo ļaunprātīgas darbības nemanāmi saplūst ar uzticamu datplūsmu.

Bezfailu izpilde: Deno bāzes ielādētājs darbībā

Šo uzbrukumu raksturīga tehniska iezīme ir pakāpeniskas Command-and-Control ielādētāja, kas izveidots, izmantojot Deno JavaScript izpildlaiku, izvietošana. Šis ielādētājs izpilda Base64 kodētu JavaScript tieši atmiņā, izvairoties no ierakstīšanas diskā un samazinot kriminālistiskos artefaktus.

Kad iekrāvējs ir aktīvs, tas veic vairākas svarīgas funkcijas:

  • Izveidojiet apdraudētās sistēmas profilu, lai apkopotu vides informāciju
  • Izveido saziņu ar ārēju serveri, lai izgūtu sekundārās vērtības
  • Uztur noturību, izmantojot aptaujas mehānismu, kas nepārtraukti ielādē un izpilda papildu kodu

Šis bezfailu izpildes modelis uzlabo slepenību un sarežģī atklāšanas centienus, ko veic tradicionālie drošības rīki.

Konsekventa pēcekspluatācijas rokasgrāmata

Neskatoties uz sākotnējās piekļuves atšķirībām, LeakNet darbības saplūst ar paredzamu darbplūsmu pēc apdraudējuma. Šī konsekvence sniedz aizstāvjiem vērtīgas iespējas atklāšanai un darbības pārtraukšanai pirms izspiedējvīrusu ieviešanas.

Tipiska uzbrukuma secība ietver:

  • DLL sānu ielāde, lai izpildītu ielādētāja piegādātās ļaunprātīgās bibliotēkas
  • Sānu kustība, izmantojot tādus rīkus kā PsExec, lai paplašinātu piekļuvi tīklam
  • Akreditācijas datu izpēte, izmantojot cmd.exe /c klist, lai identificētu aktīvās autentifikācijas sesijas.
  • Datu sagatavošana un eksfiltrācija, izmantojot S3 segmentus, maskējot aktivitātes kā likumīgu mākoņdatplūsmu
  • Pēdējā šifrēšanas fāze izspiedējvīrusa izvietošanai

Vietējo Windows rīku un izplatītu mākoņpakalpojumu izmantošana ļauj ļaunprātīgām darbībām saplūst ar normālu sistēmas un tīkla darbību.

Draudu profils: izcelsme un mērķauditorijas darbības joma

Parādoties 2024. gada novembrī, LeakNet sākotnēji sevi pozicionēja kā “digitālo sargsuni”, popularizējot pārredzamības un interneta brīvības tēmas. Tomēr novērotā aktivitāte atklāj plašāku un agresīvāku darbības jomu, tostarp uzbrukumus rūpniecības organizācijām.

Kampaņas neselektīvais mērķauditorijas atlases stratēģija apvienojumā ar mērogojamām inficēšanas metodēm uzsver tās nolūku maksimāli palielināt sasniedzamību, nevis koncentrēties uz konkrētām nozarēm.

Aizsardzības sekas: paredzamība kā priekšrocība

Lai gan LeakNet iekļūšanas metodes ir attīstījušās, tā atkarība no atkārtojamas ekspluatācijas ķēdes rada kritisku vājumu. Katrs uzbrukuma posms, sākot no izpildes līdz sānu pārvietošanai un datu noplūdei, atbilst identificējamiem uzvedības modeļiem.

Šī konsekvence ļauj aizstāvjiem:

  • Atklāt likumīgu sistēmas rīku anomālu lietošanu
  • Neparastu atmiņā esošo izpildes modeļu uzraudzība
  • Aizdomīgu mākoņkrātuves mijiedarbību identificēšana
  • Pārtrauciet uzbrukuma progresēšanu pirms šifrēšanas

Galvenais secinājums ir skaidrs: lai gan sākotnējās piekļuves metodes var atšķirties, pamatā esošais darbības plāns paliek stabils, piedāvājot vairākas iespējas agrīnai atklāšanai un reaģēšanai.

 

Tendences

Viesnīcas numura jaunināšanas ļaunprātīgi e-pasti

Mēstules, Ļaunprātīga programmatūra
Mūsdienu apdraudējumu ainavā ir ļoti svarīgi saglabāt modrību, strādājot ar negaidītiem e-pastiem. Kibernoziedznieki bieži maskē ļaunprātīgus ziņojumus kā likumīgu saraksti, lai manipulētu ar saņēmējiem un panāktu kaitīgas darbības. Tā sauktie "viesnīcas numura uzlabošanas" e-pasti ir skaidrs šīs taktikas piemērs. Šie ziņojumi nav saistīti ar likumīgām viesnīcām, ceļojumu aģentūrām, medusmēneša...

E-pasta krāpniecība ar Ledger programmaparatūras...

Pikšķerēšana, Mēstules
Mūsdienu apdraudējumu ainavā ir ļoti svarīgi saglabāt piesardzību, saņemot negaidītus e-pastus, īpaši, ja ir iesaistīti digitālie aktīvi. Kibernoziedznieki bieži vien izliekas par uzticamiem zīmoliem, lai radītu viltus steidzamības un leģitimitātes sajūtu. E-pasti “Update Your Ledger Firmware” ir daļa no šādas shēmas un nav saistīti ar likumīgiem uzņēmumiem, organizācijām vai vienībām, lai gan...

Visvairāk skatīts

Notiek ielāde...