Microsoft je upozorio na novi val CACTUS ransomware napada koji koriste malvertizerske mamce za implementaciju DanaBota kao početnog vektora pristupa.
Infekcije DanaBotom dovele su do “hands-on-keyboard aktivnosti od strane operatera ransomware-a Storm-0216 (Twisted Spider, UNC2198), što je kulminiralo uvođenjem CACTUS ransomwarea”, rekao je tim Microsoft Threat Intelligence u nizu postova na X (ranije Twitter).
DanaBot, kojeg tehnološki gigant prati kao Storm-1044, je multifunkcionalni alat na liniji Emotet, TrickBot, QakBot i IcedID koji je sposoban da djeluje kao kradljivac i ulazna tačka za sljedeću fazu payload-a.
UNC2198, sa svoje strane, ranije je primijećen kako inficira krajnje tačke sa IcedID-om radi implementacije porodica ransomware-a kao što su Maze i Egregor, kao što je detaljno opisao Google-ov Mandiant u februaru 2021.
Prema Microsoft-u, haker je takođe iskoristio prednost početnog pristupa koji pružaju QakBot infekcije. Prelazak na DanaBot je, stoga, vjerovatno rezultat koordinisane operacije provođenja zakona u avgustu 2023. godine koja je srušila QakBot infrastrukturu.
„Trenutna Danabot kampanja, prvi put primjećena u novembru, izgleda da koristi privatnu verziju malvera za krađu informacija umesto ponude malvera-kao-usluge“, dalje je primijetio Redmond.
Kredencijali koje je prikupio malver se prenose na server koji kontroliše haker, nakon čega slijedi lateralno kretanje putem RDP prijava i na kraju predaja pristupa Storm-0216.
Ovo otkriće dolazi nekoliko dana nakon što je Arctic Wolf otkrio još jedan skup CACTUS ransomware napada koji aktivno iskorištavaju kritične ranjivosti u platformi za analizu podataka pod nazivom Qlik Sense kako bi dobili pristup korporativnim mrežama.
Takođe prati otkriće novog soja macOS ransomwarea nazvanog Turtle koji je napisan u programskom jeziku Go i potpisan je adhoc potpisom, čime se sprječava njegovo izvršenje nakon pokretanja zbog zaštite Gatekeeper-a.
Izvor: The Hacker News