Microsoft предупредила о новой волне атак CACTUS ransomware, которые используют вредоносные приманки для развертывания DanaBot в качестве начального вектора доступа.
Заражение DanaBot привело к "практической активности на клавиатуре оператора программ-вымогателей Storm-0216 (Twisted Spider, UNC2198), кульминацией которой стало развертывание программы-вымогателя CACTUS", сообщила команда Microsoft Threat Intelligence в серии сообщений на X (бывший Twitter).
DanaBot, отслеживаемый технологическим гигантом как Storm-1044, представляет собой многофункциональный инструмент, аналогичный Emotet, TrickBot, QakBot и IcedID, который способен выполнять функции похитителя и точки входа для полезных нагрузок следующего этапа.
Со своей стороны, ранее было замечено, что UNC2198 заражает конечные точки IcedID для развертывания семейств программ-вымогателей, таких как Maze и Egregor, как подробно описано Mandiant, принадлежащей Google, в феврале 2021 года.
Согласно Microsoft, исполнитель угрозы также воспользовался начальным доступом, предоставляемым QakBot infections. Изменение в DanaBot, вероятно, является результатом скоординированной операции правоохранительных органов в августе 2023 года, уничтожившей инфраструктуру QakBot.
"Текущая кампания Danabot, впервые замеченная в ноябре, похоже, использует частную версию вредоносного ПО для кражи информации вместо предложения "вредоносное ПО как услуга", - отметил Редмонд далее.
Учетные данные, собранные вредоносной программой, передаются на сервер, контролируемый участником, за которым следует боковое перемещение с помощью попыток входа по протоколу RDP и, в конечном итоге, передача доступа к Storm-0216.
Раскрытие произошло через несколько дней после того, как Arctic Wolf выявила еще одну серию атак CACTUS-вымогателей, которые активно используют критические уязвимости в платформе анализа данных под названием Qlik Sense для получения доступа к корпоративным сетям.
Это также следует за открытием нового штамма программы-вымогателя macOS под названием Turtle, который написан на языке программирования Go и подписан подписью adhoc, что предотвращает его выполнение при запуске из-за защиты Gatekeeper.
Заражение DanaBot привело к "практической активности на клавиатуре оператора программ-вымогателей Storm-0216 (Twisted Spider, UNC2198), кульминацией которой стало развертывание программы-вымогателя CACTUS", сообщила команда Microsoft Threat Intelligence в серии сообщений на X (бывший Twitter).
DanaBot, отслеживаемый технологическим гигантом как Storm-1044, представляет собой многофункциональный инструмент, аналогичный Emotet, TrickBot, QakBot и IcedID, который способен выполнять функции похитителя и точки входа для полезных нагрузок следующего этапа.
Со своей стороны, ранее было замечено, что UNC2198 заражает конечные точки IcedID для развертывания семейств программ-вымогателей, таких как Maze и Egregor, как подробно описано Mandiant, принадлежащей Google, в феврале 2021 года.
Согласно Microsoft, исполнитель угрозы также воспользовался начальным доступом, предоставляемым QakBot infections. Изменение в DanaBot, вероятно, является результатом скоординированной операции правоохранительных органов в августе 2023 года, уничтожившей инфраструктуру QakBot.
"Текущая кампания Danabot, впервые замеченная в ноябре, похоже, использует частную версию вредоносного ПО для кражи информации вместо предложения "вредоносное ПО как услуга", - отметил Редмонд далее.
Учетные данные, собранные вредоносной программой, передаются на сервер, контролируемый участником, за которым следует боковое перемещение с помощью попыток входа по протоколу RDP и, в конечном итоге, передача доступа к Storm-0216.
Раскрытие произошло через несколько дней после того, как Arctic Wolf выявила еще одну серию атак CACTUS-вымогателей, которые активно используют критические уязвимости в платформе анализа данных под названием Qlik Sense для получения доступа к корпоративным сетям.
Это также следует за открытием нового штамма программы-вымогателя macOS под названием Turtle, который написан на языке программирования Go и подписан подписью adhoc, что предотвращает его выполнение при запуске из-за защиты Gatekeeper.
