В отчете компании ReliaQuest представлены результаты исследования атакующих, поведения злоумышленников и новых тенденций развития вредоносного ПО. Анализ показал, что финансово мотивированные субъекты активно ищут слабые места в системе защиты организаций разных отраслей, чтобы получить выгоду от постоянно увеличивающегося числа кибератак.
Описание
Одной из основных тактик, использованных атакующими, является принудительный доступ через внешние удаленные сервисы, такие как VPN. За отчетный период количество попыток такого доступа выросло на 21,3%, преимущественно путем перебора паролей. Подобные атаки стали более активными в январе 2025 года и возможно использовались для поиска слабых учетных данных и облегчения первоначального доступа. Другой метод получения первоначального доступа - принудительное использование учетной записи администратора через RDP.
Также в отчете обращается внимание на злоупотребление MSHTA, встраиваемого в Windows, для уклонения от защиты. Злоумышленники используют JavaScript-фреймворк, чтобы создавать обманные CAPTCHA, которые заставляют жертв выполнять вредоносные команды MSHTA и обходят традиционные средства контроля безопасности.
Учетных записей, фишинговый атака внутри организации остается эффективным способом перемещения внутри сети. Фишинговые письма, отправляемые от имени доверенных партнеров, использовались в большинстве успешных компрометаций учетных записей. Атакующие, получив доступ к внутренним учетным записям, продолжают отправлять фишинговые письма со своей учетной записи, скрывая ответы от владельца учетной записи.
Отчет также упоминает о появлении фишинговых наборов с поддельной двухфакторной аутентификацией, которые атакующие активно используют.
Indicators of Compromise
IPv4
- 103.35.189.243
- 107.158.128.20
- 128.234.18.140
- 13.86.223.89
- 13.86.223.91
- 173.44.141.50
- 174.114.231.18
- 189.182.97.191
- 196.251.117.191
- 207.188.157.230
- 40.126.229.236
- 45.61.150.97
- 47.249.3.152
- 52.148.43.94
- 52.168.112.80
- 52.168.112.84
- 52.168.112.86
- 52.168.112.87
- 62.60.154.163
- 68.61.206.86
- 74.206.139.3
- 76.138.103.65
- 76.154.146.156
- 78.46.67.201
- 82.42.84.202
- 87.103.126.54
- 88.97.239.161
- 91.205.164.183
- 94.156.227.67
- 94.156.227.68
- 94.156.227.69
- 94.156.227.70
- 94.156.227.71
- 95.158.13.3
- 98.158.100.22
- 98.185.158.20
Domains
- assets-gbr.mkt.dynamics.com
- files-share.portseattles.org
- xx.retweet.shop
URLs
- human-verify.shop/xfiles/verify.mp4
- igameinfinity.shop/suno.mp3
- lack-behind-came-verification.trycloudflare.com/cloudfla
- sandbox.yunqof.shop/macan.mp3
- sirax.shop/redclaprubz.m4a
- teroniga.shop/remingofugu.m4a
- u1.tightlyreporter.shop/sosalkino.mov
