Новая кампания злоумышленников использует взломанные сайты для распространения трояна удалённого доступа

Исследователи в области кибербезопасности выявили новую кампанию злоумышленников, в рамках которой используются скомпрометированные легитимные веб-ресурсы для распространения трояна удалённого доступа (RAT), известного под названием MIMICRAT или AstarionRAT. По информации, опубликованной в отчётах ряда исследовательских команд в начале 2024 года, эта кампания характеризуется сложной многоступенчатой схемой доставки вредоносного ПО и использованием взломанных сайтов из разных отраслей и регионов.

Особенности кампании и механизм атаки

В ходе кампании злоумышленники внедряют вредоносные скрипты на скомпрометированные сайты, что может приводить к перенаправлению посетителей на фишинговые страницы или побуждать пользователей загрузить вредоносные файлы, такие как MSI или ZIP-архивы с трояном. Точные детали цепочки заражения варьируются в зависимости от конкретного случая, но общий подход основан на использовании доверенных веб-ресурсов для повышения вероятности успешной атаки и обхода сетевых фильтров.

MIMICRAT представляет собой удалённый троян, предоставляющий злоумышленникам широкий набор возможностей для контроля над заражёнными системами, включая кражу данных, мониторинг активности и выполнение произвольных команд. Использование скомпрометированных сайтов позволяет злоумышленникам скрывать источник атаки и затрудняет обнаружение вредоносной активности.

Влияние на организации и управление внешней поверхностью атаки

Для организаций, особенно тех, кто управляет своей внешней поверхностью атаки, такая кампания представляет серьёзную угрозу. Использование взломанных легитимных сайтов в качестве канала доставки вредоносного ПО усложняет выявление и предотвращение атак. Сотрудники и партнёры компаний могут подвергаться заражению через доверенные ресурсы, что повышает риск компрометации корпоративной сети.

Кроме того, многоотраслевая и географически распределённая природа скомпрометированных сайтов указывает на масштабность кампании и её целенаправленность, что требует от команд безопасности усиленного мониторинга и анализа внешних угроз.

Рекомендации для команд безопасности

• Постоянный мониторинг внешних ресурсов: Используйте инструменты для обнаружения скомпрометированных сайтов и подозрительной активности, связанной с вашей отраслью или партнёрской экосистемой.
• Анализ цепочек поставок: Внимательно проверяйте безопасность веб-ресурсов, с которыми взаимодействуют ваши сотрудники и системы, чтобы минимизировать риск заражения через доверенные каналы.
• Обновление антивирусных и EDR-систем: Убедитесь, что средства защиты способны обнаруживать и блокировать новые варианты RAT, включая MIMICRAT, и своевременно обновляются.
• Обучение сотрудников: Повышайте осведомлённость персонала о рисках загрузки файлов и перехода по ссылкам с подозрительных или взломанных сайтов, даже если они выглядят легитимно.
• Многофакторная аутентификация и сегментация сети: Ограничьте возможности злоумышленников по распространению внутри сети в случае компрометации конечных точек.
• Использование платформ EASM: Внедрение решений для управления внешней поверхностью атаки поможет выявлять и устранять угрозы, исходящие от внешних ресурсов, включая взломанные сайты.

Учитывая растущую сложность кибератак и использование злоумышленниками всё более изощрённых методов, организациям рекомендуется интегрировать проактивные меры защиты, ориентированные на мониторинг и контроль внешних цифровых активов. Это позволит своевременно выявлять и нейтрализовать угрозы, подобные описанной кампании с MIMICRAT, и снижать риски для бизнеса.