Свежая волна кибератак привлекла внимание экспертов по информационной безопасности. На этот раз злоумышленники используют популярное решение для удаленного доступа LogMeIn Resolve, чтобы получать контроль над компьютерами пользователей. Атака начинается с фишингового письма, маскирующегося под уведомление о просроченном счете, что делает ее особенно опасной для невнимательных получателей.
Описание
Исследователи Trustwave SpiderLabs обнаружили, что атака стартует с рассылки спам-писем, которые выглядят как стандартные уведомления от поставщиков услуг или партнеров. В письме содержится вложение - PDF-файл, якобы содержащий информацию о задолженности. Однако при открытии документа пользователь видит сообщение с предложением обновить Adobe Acrobat Reader для корректного отображения содержимого. Вместо легального обновления запускается скрытая установка LogMeIn Resolve - легитимного инструмента для удаленного администрирования, который в данном случае используется злоумышленниками в преступных целях.
После успешной установки программы злоумышленники получают полный доступ к системе жертвы. Это позволяет им выполнять произвольные команды, красть конфиденциальные данные и даже устанавливать дополнительное вредоносное ПО. Поскольку LogMeIn Resolve является доверенным приложением, его активность часто остается незамеченной системами защиты, что делает атаку особенно коварной.
Эксперты выделили несколько ключевых индикаторов компрометации (IoC), которые помогают выявить подобные атаки. Среди них - подозрительные URL-адреса, используемые для загрузки вредоносных файлов, например, hxxps[://]overdue-invoices-distributed[.]netlify[.]app/success[.]html. Также были обнаружены исполняемые файлы с именами, имитирующими финансовые документы, такие как INV-inv002811.exe и Attached_Overdue_Statement.exe.
Еще одним тревожным сигналом является наличие в системе конфигурационных данных LogMeIn Resolve с определенными идентификаторами, включая CompanyID 7051889796388834818 и 2462565644419079679, а также FleetTemplateName syn-prd-ava-unattended. Эти параметры могут указывать на то, что система была скомпрометирована и находится под контролем злоумышленников.
Чтобы защититься от подобных атак, специалисты рекомендуют соблюдать базовые правила кибергигиены:
- Во-первых, следует крайне осторожно относиться к письмам с вложениями, особенно если они требуют срочных действий, таких как оплата счетов или обновление программного обеспечения.
- Во-вторых, никогда не стоит устанавливать обновления или программы из непроверенных источников - лучше скачивать их исключительно с официальных сайтов разработчиков.
- В-третьих, важно регулярно проверять список установленных приложений и активных удаленных сессий, чтобы вовремя обнаружить подозрительную активность.
Данный инцидент лишний раз напоминает о том, что даже легитимные инструменты могут быть использованы злоумышленниками, если они попадают в систему без ведома пользователя. Компаниям и частным лицам необходимо оставаться бдительными и применять многослойные системы защиты, включая антивирусные решения, межсетевые экраны и системы мониторинга сетевой активности.
Киберпреступники постоянно совершенствуют свои методы, и атаки с использованием доверенного ПО становятся все более распространенными. В таких условиях осведомленность пользователей и своевременное обновление защитных механизмов играют ключевую роль в предотвращении успешных компрометаций.
Индикаторы компрометации
URLs
- https://overdue-invoices-distributed.netlify.app/success.html
MD5
- 366205d586e4ebccca7d18307fb7e051
- dbfd65386e28097f2dbe21eadbbdba37
SHA256
- 8d50c26c4a9d4325d5febfb6da647fc382dee224db03cee994e6021f9b50941d
- e3e183ddee889b999564fc7d4c7c29ea7825faee03b775f2fa7c72263605b1c8
