Sophos
Компания Sophos рассказывает о кампании по борьбе с вымогательством, которая использует легитимные исполняемые файлы и библиотеки DLL Sophos, изменяя их исходное содержимое, переписывая код точки входа и вставляя расшифрованную полезную нагрузку в качестве ресурса.
Sophos X-Ops наблюдала широкий спектр угроз, доставляемых на серверы. Наиболее распространенными полезными нагрузками являются маячки Cobalt Strike, программы-вымогатели, файловые бэкдоры PowerShell, майнеры и веб-шеллы.
В середине июня компания Sophos X-Ops обнаружила ранее не зафиксированную кампанию по созданию вредоносных программ с первоначальным доступом, использующих вредоносную рекламу (malvertising) и выдающих себя за легитимное программное обеспечение для компрометации корпоративных сетей.
Sophos обнаружили вредоносную деятельность по боковой загрузке DLL, которая основана на классическом сценарии боковой загрузки, но добавляет сложность и многоуровневость в его выполнение. Более того, наше расследование показало, что ответственный(ые) агент(ы) настолько полюбил(и) эту адаптацию оригинального
За последние несколько месяцев Sophos X-Ops расследовала множество инцидентов, в которых злоумышленники пытались отключить клиентов EDR с помощью нового инструмента уклонения от защиты, который назвали AuKill. Инструмент AuKill использует устаревшую версию драйвера, используемого в версии 16.
Масштабная атака "QakNote" использует вредоносные файлы .one в качестве нового вектора заражения
В связи с сообщениями о новом сайте утечки данных, опубликованном субъектами, стоящими за вымогательским ПО BlackByte, Sophos решили еще раз взглянуть на последний вариант, написанный на языке Go.
В мае 2022 года один из поставщиков автомобильной продукции подвергся трем отдельным атакам с использованием вымогательского ПО. Все три угрозы использовали одну и ту же неправильную конфигурацию - правило брандмауэра, открывающее доступ к протоколу удаленного рабочего стола (RDP) на сервере управления