Trend Micro
Trend Micro проанализировала кибершпионскую атаку, которую компания приписывает Earth Freybug, подгруппе APT41 (отслеживаемой Microsoft как Brass Typhoon). По данным Trend Micro, Earth Freybug действует как минимум с 2012 года, и эта связанная с Китаем группа активно занимается шпионажем и финансово мотивированными атаками.
Zero Day Initiative (ZDI) недавно обнаружила кампанию DarkGate в середине января 2024 года, которая использовала CVE-2024-21412 с помощью поддельных инсталляторов программного обеспечения. В ходе этой кампании пользователей заманивали с помощью PDF-файлов, содержащих открытые редиректы Google DoubleClick
Команда Trend Micro MDR провела расследование и успешно раскрыла наборы для вторжения, использованные Earth Kapre в одном из недавних инцидентов. Шпионская группа Earth Kapre (также известная как RedCurl и Red Wolf) активно проводит фишинговые кампании, направленные на организации в России, Германии
Программа-вымогатель под названием Kasseika использует тактику Bring Your Own Vulnerable Driver (BYOVD) для отключения антивирусного ПО перед шифрованием файлов.
В ходе планового поиска угроз компания Trend Micro обнаружила признаки активной эксплуатации CVE-2023-36025 для заражения пользователей ранее неизвестным штаммом вредоносной программы Phemedrone Stealer.
Группа вторжения Water Curupira, известная по использованию вымогательского ПО Black Basta, применяла Pikabot, вредоносную программу-загрузчик, похожую на Qakbot, в спам-кампаниях на протяжении 2023 года.
В ходе расследования Trend Micro, потенциальных угроз безопасности, было обнаружено вредоносное расширение для Google Chrome, которое Trend Micro назвали "ParaSiteSnatcher".
Trend Micro обнаружена активная эксплуатация уязвимости Apache ActiveMQ CVE-2023-46604 для загрузки и заражения Linux-систем вредоносным ПО Kinsing (также известным как h2miner) и криптовалютным майнером. При эксплуатации данная уязвимость приводит к удаленному выполнению кода (RCE), который Kinsing
С июля по сентябрь Trend Micro наблюдали, как кампания DarkGate использовала платформы обмена мгновенными сообщениями для доставки жертвам скрипта-загрузчика VBA. Этот скрипт загружал и выполнял полезную нагрузку второго этапа, состоящую из скрипта AutoIT, содержащего код вредоносной программы DarkGate.
Akira быстро становится одним из самых быстрорастущих семейств вымогательского ПО благодаря использованию тактики двойного вымогательства, модели распространения ransomware-as-a-service (RaaS) и уникальным вариантам оплаты. Программа Akira появилась в марте 2023 года и была известна тем, что атаковала