Follina okazuje się być zagrożeniem dla administratorów systemów na całym świecie, ponieważ pojawiają się nowe doniesienia o luce wykorzystywanej do rozpowszechniania złodziei informacji, trojanów i oprogramowania ransomware.

Badacze cyberbezpieczeństwa z Proofpoint odkryli, że znani cyberprzestępcy, tacy jak TA570, wykorzystywali lukę Follina do infekowania punktów końcowych (otwiera się w nowej karcie) za pomocą Qbota, podczas gdy Grupa NCC odkryła, że ​​Black Basta, znana grupa oprogramowania ransomware, dalej go nadużywała.

Qbot, znany również jako Qakbot, Quakbot lub Pinkslipbot, to trojan bankowy i złodziej informacji, który jest używany od ponad dekady. Przestępcy, którzy chcą rozpowszechniać złodzieja informacji, zazwyczaj wybierają kombinację phishingu i wykorzystywania exploitów, nakłaniając ludzi do odwiedzania szkodliwych stron internetowych, które za pomocą różnych luk w zabezpieczeniach kończą pobieraniem konia trojańskiego na urządzenie.

Wyłania się czerń

Qbot jest w stanie wyrządzić wiele szkód, zapisać klucze, eksfiltrować pliki cookie, blokować procesy, ale działa również jako dropper dla wirusów drugiego etapu, złośliwego oprogramowania (s'otwiera się w nowej karcie) lub oprogramowania ransomware. To jest dokładnie ta ręka, którą gra Black Basta.

Stosunkowo nowy uczestnik przestrzeni ransomware, Black Basta został zaobserwowany przez NCC Group, używając Qbota do poruszania się bocznie przez skompromitowane sieci i wdrażania swojego oprogramowania ransomware (otwiera się w nowej karcie).

Jak wspomina publikacja, grupa po raz pierwszy pojawiła się w kwietniu tego roku, zwracając się bezpośrednio do Amerykańskiego Towarzystwa Stomatologicznego. Wykorzystuje podwójne taktyki wymuszeń (kradzież i szyfrowanie poufnych danych), aby zmusić ofiary do zapłacenia okupu.

Follina, również śledzona jako CVE-2022-30190, to usterka znaleziona w Narzędziu diagnostycznym obsługi systemu Windows. Może być nadużywany do zdalnego wykonywania kodu, powodując, że programy takie jak Office Word wyświetlają narzędzie ze specjalnie spreparowanego dokumentu po jego otwarciu.

Microsoft potwierdził istnienie usterki i obiecał pracować nad poprawką. Do tego czasu cyberprzestępcy aktywnie wykorzystują tę lukę. Wśród potwierdzonych ataków jest jeden przeciwko międzynarodowej społeczności tybetańskiej, przeprowadzony przez znanego chińskiego agenta TA413, sponsorowanego przez państwo.

Przez: Rejestr (otwiera się w nowej karcie)

Udostępnij to