ThreatDown от Malwarebytes выявил недавнюю атаку банды Rhysida ransomware, которая использовала новый вариант бэкдора Oyster, также известного как Broomstick.
Это обновленная версия кампании Oyster, о которой сообщала компания Rapid7 и которая использовала отравленные SEO-результаты поиска, чтобы обманом заставить пользователей загрузить вредоносные программы установки, маскирующиеся под легитимное программное обеспечение, такое как Google Chrome и Microsoft Teams, для установки бэкдора Oyster.
Эта атака в рамках обновленной кампании была направлена на известную частную школу и включала развертывание бэкдора Oyster на конечной точке клиента, вероятно, с помощью вредоносного IP-сканера, распространяемого через вредоносную рекламу. Злоумышленники получили доступ к устройствам сетевого хранения данных (NAS) и программному обеспечению виртуальных машин (VM), используя украденные учетные данные Secure Shell (SSH), чтобы обойти меры безопасности и в конечном итоге развернуть программу Rhysida ransomware, зашифровав файлы и локальные резервные копии.
Indicators of Compromise
Domains
- codeforprofessionalusers.com
SHA256
- 0a7fd836d36ed8e8e9aa7bc41fdc9242333e8469059dec8886b7d935f3651679