Группа BlueNoroff, известная своими финансово мотивированными кибератаками, продолжает совершенствовать свои методы, внедряя новые способы доставки вредоносного ПО и обходя современные механизмы защиты. По данным последних исследований, злоумышленники начали активно использовать форматы файлов .iso и .vhd для обхода флага Mark-of-the-Web (MOTW) - функции безопасности Windows, предупреждающей пользователей об опасности при открытии файлов, загруженных из интернета. Это не первый случай, когда киберпреступники применяют подобные техники, однако включение их в арсенал BlueNoroff свидетельствует о стремлении группы оставаться на шаг впереди систем защиты.
Описание
Помимо этого, исследователи зафиксировали эксперименты группы с различными типами файлов, включая Visual Basic Script, пакетные файлы Windows и исполняемые файлы. Такое разнообразие методов доставки позволяет злоумышленникам повысить эффективность атак и адаптироваться к изменяющимся условиям кибербезопасности. Похоже, что BlueNoroff активно тестирует новые подходы, чтобы найти наиболее уязвимые места в защите финансовых организаций и криптовалютных платформ.
Еще одной тревожной тенденцией стало обнаружение более 70 поддельных доменов, связанных с деятельностью группы. Многие из них имитируют японские венчурные компании и банки, что указывает на повышенный интерес злоумышленников к японскому финансовому сектору. Фишинговые сайты, созданные BlueNoroff, выглядят максимально правдоподобно, что увеличивает вероятность успешного обмана пользователей и кражи их данных.
Эксперты отмечают, что активность группы остается высокой, а ее методы становятся все более изощренными. Использование .iso и .vhd для обхода MOTW, тестирование новых скриптов и расширение фишинговой инфраструктуры - все это говорит о том, что BlueNoroff продолжает развиваться и искать новые уязвимости.
Для защиты от подобных атак специалисты рекомендуют организациям усилить контроль за входящими файлами, особенно если они загружаются из ненадежных источников. Также важно обучать сотрудников распознаванию фишинговых атак и использовать многофакторную аутентификацию для критически важных систем. Поскольку BlueNoroff фокусируется на финансовом секторе, банкам и криптобиржам следует особенно внимательно относиться к подозрительным доменам и необычным файлам в корпоративной переписке.
В целом, действия BlueNoroff демонстрируют, что киберпреступники не стоят на месте и постоянно адаптируются к новым технологиям защиты. Без своевременного обновления систем безопасности и повышения осведомленности пользователей финансовые организации рискуют стать следующей жертвой этой высокотехнологичной группы.
Индикаторы компрометации
IPv4
- 104.168.174.80
- 152.89.247.87
- 172.86.121.130
URLs
- http://avid.lno-prima.lol/NafqhbXR7KC/rTVCtCpxPH/kMjTqFDDNt/fiOHK5H35B/bM%3D
- http://avid.lno-prima.lol/VcIf1hLJopY/shU_pJgW2Y/KvSuUJYGoa/sX+Xk4Go/gGhI=
- http://offerings.cloud/NafqhbXR7KC/rTVCtCpxPH/pdQTpFN6FC/Lhr_wXGXix/nQ%3D
- https://bankofamerica.us.org/lsizTZCslJm/W+Ltv_Pa/qUi+KSaD/_rzNkkGuW6/cQHgsE=
- https://docs.azure-protection.cloud/%2BgFJKOpVX/4vRuFIaGlI/D%2BOfpTtg/YTN0TU1BNx/bMA5aGuZZP/ODq7aFQ%3D/%3D
- https://docs.azure-protection.cloud/+gFJKOpVX/4vRuFIaGlI/D+OfpTtg/YTN0TU1BNx/bMA5aGuZZP/ODq7aFQ%3D/%3D
- https://docs.azure-protection.cloud/EMPxSKTgrr3/2CKnoSNLFF/0d6rQrBEMv/gGFroIw5_m/n9hLXkEOy3/wyQ%3D%3D
- https://www.capmarketreport.com/packageupd.msi?ccop=RoPbnVqYd
MD5
- 087407551649376d90d1743bac75aac8
- 1e3df8ee796fc8a13731c6de1aed0818
- 21e9ddd5753363c9a1f36240f989d3a9
- 4c0fb06320d1b7ecf44ffd0442fc10ed
- 61a227bf4c5c1514f5cbd2f37d98ef5b
- 931d0969654af3f77fc1dab9e2bd66b1
- a17e9fc78706431ffc8b3085380fe29f
- d3503e87df528ce3b07ca6d94d1ba9fc
- d8f6290517c114e73e03ab30165098f6
- f766f97eb213d81bf15c02d4681c50a4
