- Регистрация
- 18.01.2023
- Сообщения
- 1 674
- Реакции
- 295
- Депозит
- 𝟎.𝟓 𝐁𝐓𝐂
- Сделок через Гаранта
- 135
Исследователи угроз из компании WithSecure раскрыли информацию о том, как киберпреступные группировки обмениваются друг с другом хакерскими инструментами. Инструмент, отслеживаемый исследовательской группой под названием Silkloader, представляет собой загрузчик-маяк, который использует DLL Sideloading в VLC Media Player для загрузки и запуска Cobalt Strike.
Паоло Палумбо, вице-президент WithSecure Intelligence, считает, что очевидная доступность Silkloader как услуги также подчёркивает, насколько сложным может быть противодействие финансово мотивированным киберпреступлениям.
По данным исследователей, загрузчик Silkloader был впервые использован в прошлом году, когда был развернут китайскими хакерами против целей в Восточной Азии, в основном в Китае и Гонконге. Однако эта кампания киберпреступной деятельности пошла на убыль и прекратилась в июле 2022 года. Затем, ближе к концу года, компания WithSecure обнаружила ряд кибервторжений с использованием того же Silkloader, но уже в ряде европейских стран.«Маяки Cobalt Strike очень хорошо известны, и их обнаружение на защищённой машине практически гарантировано. Однако злоумышленники используют популярное легитимное приложение VLC Media Player, подверженное боковой загрузке вредоносных DLL-библиотек. Таким образом злоумышленникам действительно удаётся обойти антивирусные решения и внедрить вредоносное ПО», — заявили исследователи WithSecure.
По словам Неджада, вполне вероятно, что китайский оператор Silkloader, который, возможно, даже был независимым программистом, продал загрузчик российским хакерам. Неджад предполагает, что покупателем мог быть кто-то тесно связанный с уже несуществующей группировкой Conti.«Мы считаем, что Silkloader в настоящее время распространяется в рамках российской киберпреступной экосистемы в виде готового загрузчика по программе «Packer-as-a-Service» среди групп вымогателей или через инфраструктуру Cobalt Strike», — сообщил Хасан Неджад, эксперт WithSecure.
Паоло Палумбо, вице-президент WithSecure Intelligence, считает, что очевидная доступность Silkloader как услуги также подчёркивает, насколько сложным может быть противодействие финансово мотивированным киберпреступлениям.
«Злоумышленники используют индустрию киберпреступности для приобретения новых возможностей и технологий, чтобы быстро адаптировать свои операции под нужные им цели. Это затрудняет экспертное расследование, ведь связать определённые ресурсы и инструменты с конкретной группой или режимом работы — гораздо сложнее», — заявил Палумбо.
«С другой стороны, это совместное использование хакерами одной и той же инфраструктуры даёт нам возможность придерживаться определённого вектора оборонительной силы, с помощью которого мы можем защищаться от нескольких групп злоумышленников одновременно, создавая стратегии для эффективного противодействия используемым им ресурсам», — оптимистично подытожил вице-президент WithSecure.