Как защититься от продвинутых кибератак
Как считают эксперты Positive Technologies, ExCobalt является преемницей известной APT-группировки Cobalt. Такой вывод можно сделать, исходя из арсенала киберпреступников: в своих атаках они применяют известный модуль CobInt. Наряду с ним в инструментарий злоумышленников входит руткит Facefish и свежий бэкдор GoRed. Для распространения утилиты CobInt атакующие используют фишинговые письма с вложенными в них вредоносными архивами. Деятельность хакеров ранее была направлена на кражу денежных средств, но впоследствии они начали заниматься кибершпионажем. Среди целей ExCobalt — предприятия металлургии, горной промышленности, государственные учреждения, телекоммуникационные и ИТ-компании, а также разработчики ПО.
Обнаружение Заметить фишинговую рассылку помогут модули «Обнаружение подозрительных файлов», «Проверка файлов по хеш-сумме», «Отправка файлов в PT Sandbox» или «YARA-сканер». Правило CVE_2023_38831_WinRar выявляет запуск вредоносных компонентов WinRar. Правило Execute_Malicious_Command срабатывает при попытке запустить вредоносные скрипты PowerShell, Visual Basic и другие инструменты, в том числе троян Spark RAT. Попытку внедрения бэкдора GoRed обнаруживают правила Unix_At_Job_Modify и Suspicious_Create_File_Scheduler_Cron. Помимо этого, MaxPatrol EDR способен выявить попытки повышения привилегий, преодоления защиты, компрометации учетных данных и другие техники киберпреступников ExCobalt.
Реагирование Запуск вредоносных компонентов WinRar и скриптов PowerShell можно предотвратить с помощью модулей «Завершение процессов», «Удаление файлов» и «Карантин». Чтобы остановить внедрение бэкдора GoRed, нужно удалить задачу командой crontab -e или at -r.
Полный текст статьи читайте на CNews
