Поддельные обновления Microsoft Teams приводят к установке Cobalt Strike

Вт 10 Ноябрь 2020 11:50

Операторы программ-вымогателей используют вредоносную рекламу для распространения поддельных обновлений Microsoft Teams, заражения систем бэкдорами и дальнейшей установки маяков Cobalt Strike для компрометации сети. В распоряжение издания Bleeping Computer попало предупреждение Microsoft, согласно которому преступники использовали подписанные двоичные файлы и эксплуатировали критическую уязвимость ZeroLogon ( CVE-2020-1472 ), чтобы с помощью JavaScript-фреймворка SocGholish получить доступ администратора к сети.

В рамках одной из атак хакеры приобрели рекламу в поисковой системе, из-за чего первые результаты поиска для программного обеспечения Microsoft Teams указывали на домен, находящийся под контролем преступников. После нажатия на ссылку загружалась полезная нагрузка, которая запускала PowerShell-скрипт для скачивания большего количества вредоносного содержимого. Вредонос также устанавливал на системе легитимную копию Microsoft Teams, чтобы жертвы ничего не заподозрили.

Как сообщили специалисты из Microsoft, в большинстве случаев исходной полезной нагрузкой был инфостиллер Predator the Thief, который отправляет злоумышленнику конфиденциальную информацию, такую ​​как учетные данные, данные браузера и финансовую информацию. К другим распространяемым таким образом программам относятся бэкдор Bladabindi (NJRat) и инфостилер ZLoader.

Вредоносная программа также загружала маяки Cobalt Strike, что позволяло злоумышленнику перемещаться по сети. В некоторых атаках последним этапом был запуск вредоносного ПО для шифрования файлов на компьютерах сети. Напомним, для развертывания маяков Cobalt Strike злоумышленники также начали активно использовать критическую уязвимость ( CVE-2020-14882 ) в платформах Oracle WebLogic. Таким образом хакеры обеспечивают себе постоянный удаленный доступ к скомпрометированным устройствам.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 258 дней 14 часов 56 минут 59 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.