Скидка на мультилицензию
База данных угроз Программы-вымогатели Программа-вымогатель LeakNet

Программа-вымогатель LeakNet

К Mezo году в Программы-вымогатели, Расширенная постоянная угроза (APT) году
Перевести на:

Операция по распространению программ-вымогателей LeakNet внесла существенный вклад в эволюцию тактики вторжения, используя в качестве основного вектора проникновения метод социальной инженерии ClickFix. Этот подход манипулирует пользователями, заставляя их выполнять вредоносные команды под видом устранения сфабрикованных системных ошибок. В отличие от традиционных методов доступа, таких как покупка украденных учетных данных у посредников, эта тактика напрямую использует доверие пользователей и их привычное поведение.

Взломанные, но в остальном легитимные веб-сайты используются для показа поддельных запросов на проверку CAPTCHA. Эти запросы предписывают пользователям скопировать и выполнить вредоносную команду msiexec.exe через диалоговое окно «Выполнить» в Windows. Поскольку взаимодействие имитирует повседневную работу системы, атака выглядит обыденной и не вызывает подозрений. Эта масштабная, оппортунистическая стратегия позволяет атаковать различные отрасли без разбора.

Стратегический сдвиг: независимость от брокеров первичного доступа.

Переход LeakNet на ClickFix представляет собой продуманный операционный сдвиг. Устранив зависимость от сторонних поставщиков учетных данных, группа сокращает как затраты, так и задержки, связанные с получением доступа. Эта независимость устраняет ключевое узкое место, позволяя масштабировать кампании быстрее и эффективнее.

Кроме того, использование скомпрометированной легитимной инфраструктуры вместо систем, контролируемых злоумышленниками, значительно снижает обнаруживаемые сетевые индикаторы. Это делает традиционные методы защиты периметра менее эффективными, поскольку вредоносная активность незаметно сливается с доверенным трафиком.

Выполнение без файлов: загрузчик на основе Deno в действии

Одной из определяющих технических особенностей этих атак является развертывание поэтапного загрузчика Command-and-Control, построенного на основе среды выполнения JavaScript Deno. Этот загрузчик выполняет закодированный в Base64 JavaScript непосредственно в памяти, избегая записи на диск и минимизируя следы, которые могут быть обнаружены при криминалистическом анализе.

После активации погрузчик выполняет несколько важных функций:

  • Анализирует скомпрометированную систему сбора информации об окружающей среде.
  • Устанавливает связь с внешним сервером для получения дополнительных полезных нагрузок.
  • Обеспечивает постоянное сохранение состояния за счет механизма опроса, который непрерывно получает и выполняет дополнительный код.

Эта модель выполнения без использования файлов повышает скрытность и усложняет обнаружение с помощью традиционных средств обеспечения безопасности.

Последовательная стратегия действий после эксплуатации

Несмотря на различия в первоначальном доступе, операции LeakNet сходятся в предсказуемый рабочий процесс после взлома. Эта стабильность предоставляет специалистам по защите ценные возможности для обнаружения и предотвращения угроз до развертывания программ-вымогателей.

Типичная последовательность атаки включает в себя:

  • Загрузка DLL-библиотек для выполнения вредоносных библиотек, предоставляемых загрузчиком.
  • Боковое перемещение с использованием таких инструментов, как PsExec, для расширения доступа к сети.
  • Проверка учетных данных с помощью команды cmd.exe /c klist для идентификации активных сеансов аутентификации.
  • Подготовка и утечка данных через хранилища S3, маскировка активности под легитимный облачный трафик.
  • Заключительный этап шифрования для развертывания программы-вымогателя

Использование встроенных инструментов Windows и распространенных облачных сервисов позволяет вредоносным действиям сливаться с нормальным поведением системы и сети.

Профиль угроз: происхождение и сфера применения.

Созданная в ноябре 2024 года, LeakNet первоначально позиционировала себя как «цифровой сторожевой пёс», продвигая идеи прозрачности и свободы интернета. Однако наблюдаемая активность свидетельствует о более широком и агрессивном масштабе операций, включая атаки на промышленные организации.

Неизбирательная стратегия таргетирования кампании в сочетании с масштабируемыми методами распространения инфекции подчеркивает ее намерение максимизировать охват, а не сосредотачиваться на конкретных группах населения.

Оборонительные аспекты: предсказуемость как преимущество

Несмотря на эволюцию методов проникновения в LeakNet, его зависимость от повторяющейся цепочки эксплуатации представляет собой критическую уязвимость. Каждый этап атаки, от выполнения до горизонтального перемещения и утечки данных, следует определенным поведенческим моделям.

Эта стабильность позволяет защитникам:

  • Выявление аномального использования легитимных системных инструментов.
  • Отслеживайте необычные шаблоны выполнения в оперативной памяти.
  • Выявление подозрительных взаимодействий с облачным хранилищем
  • Прерывание развития атаки до начала шифрования

Главный вывод очевиден: хотя методы первоначального доступа могут различаться, базовая оперативная схема остается стабильной, предоставляя множество возможностей для раннего обнаружения и реагирования.

 

В тренде

Вредоносные электронные письма при повышении...

Спам, Вредоносное ПО
В условиях современных угроз крайне важно сохранять бдительность при обработке неожиданных электронных писем. Киберпреступники часто маскируют вредоносные сообщения под легитимную корреспонденцию, чтобы склонить получателей к совершению противоправных действий. Так называемые письма с предложением «повышения категории номера в отеле» — яркий пример этой тактики. Эти сообщения не связаны ни с...

Мошенническая рассылка по электронной почте с...

Фишинг, Спам
В условиях современных угроз крайне важно проявлять осторожность при получении неожиданных электронных писем, особенно когда речь идет о цифровых активах. Киберпреступники часто выдают себя за известные бренды, чтобы создать ложное ощущение срочности и легитимности. Письма с призывом «Обновите прошивку вашего Ledger» являются частью такой схемы и не связаны ни с какими законными компаниями,...

Наиболее просматриваемые

Загрузка...