Уже достаточно того, что злоумышленники используют ИИ для своих атак, но теперь они также получили доступ к новому трояну удаленного доступа (RAT), который позволяет легко запускать атаки по краже данных и программы-вымогателя на компьютерах под управлением Windows из единой панели управления.
Этот инструмент называется Steaelite, и, по данным исследователей BlackFog, он рекламируется и доступен клиентам на подпольных киберпреступных площадках с ноября прошлого года. Кроме того, на YouTube есть рекламный ролик, демонстрирующий его возможности.
Этот инструмент может снизить порог для проведения сложных, комплексных кампаний с использованием программ-вымогателей.
Однако генеральный директор BlackFog Даррен Уильямс сообщил изданию CSO, что это не самый изощренный RAT, который он видел. «Новизна здесь, — сказал он, — заключается в конвергенции. Steaelite объединяет удаленный доступ, сбор учетных данных, эксфильтрацию данных и программу-вымогатель (в настоящее время в разработке) в одном пакете».
Традиционно, пояснил он, эти возможности занимали разные части цепочки инструментов киберпреступников, но Steaelite унифицирует функции, предоставляя операторам постоянный доступ, наблюдение и кражу данных из единой панели управления на основе браузера. И как только модуль программы-вымогателя будет завершен, «операторы смогут сначала эксфильтровать данные, а затем шифровать их, что позволит осуществить двойное вымогательство без смены инструментов, что довольно редко».
Этого достаточно, чтобы «полностью скомпрометировать бизнес», — отметил он. «Ущерб масштабируется в зависимости от доступа жертвы, поэтому один зараженный сотрудник с привилегированными учетными данными может передать ключи от всей среды».
Чуть более десяти лет назад один исследователь насчитал более 250 RAT, и злоумышленники продолжают создавать новые RAT для обхода развивающейся защиты; сегодня Malwarebytes перечисляет наиболее известные на данный момент RAT как SubSeven, Back Orifice, ProRat, Turkojan и Poison-Ivy.
И ранее в этом месяце исследователи безопасности из Point Wild раскрыли еще одну кампанию вредоносного ПО для Windows, которая использует многоступенчатую цепочку заражения для установления постоянного резидентного в памяти доступа к скомпрометированным системам и кражи конфиденциальных данных.
RAT распространяются множеством способов, в том числе когда сотрудники переходят по фишинговым ссылкам и когда злоумышленники обманом заставляют персонал устанавливать программное обеспечение, которое, как им говорят, необходимо. Из-за этого обучение осведомленности в области безопасности является основной защитой.
Что включает Steaelite
Инструментарий Steaelite на основе браузера включает модули для удаленного выполнения кода, управления файлами, потоковой передачи в реальном времени, доступа к веб-камере и микрофону, управления процессами, мониторинга буфера обмена, восстановления паролей, перечисления установленных программ, отслеживания местоположения, произвольного выполнения файлов, открытия URL-адресов, DDoS-атак и компиляции полезной нагрузки VB.NET.
Кроме того, панель «расширенные инструменты» предоставляет развертывание программы-вымогателя, скрытый доступ RDP (удаленное управление рабочим столом), возможность отключения Windows Defender и управление исключениями, а также установку постоянства.
Возможность потоковой передачи экрана в реальном времени отображает рабочий стол жертвы с индикатором «LIVE STREAM». «В сочетании с модулями веб-камеры и микрофона это превращает Steaelite в постоянную платформу для наблюдения до тех пор, пока жертва остается подключенной», — говорится в отчете.
Панель «инструменты разработчика» добавляет кейлоггинг, чат между клиентом и жертвой, поиск файлов, распространение через USB, уничтожение ботов (для удаления конкурирующего вредоносного ПО), доставку диалоговых окон, изменение обоев рабочего стола, обход UAC и клиппер, который подменяет адреса криптовалютных кошельков на адрес, контролируемый злоумышленником, во время операций копирования-вставки.
Возможно, наиболее тревожным для руководителей по безопасности и ИТ-безопасности является то, что инструмент позволяет одному злоумышленнику просматривать файлы жертвы, эксфильтровать документы, собирать учетные данные и развертывать программу-вымогателя — иными словами, обеспечивать двойное вымогательство — из одной и той же панели управления.
Обычно двойное вымогательство требует отдельных инструментов или шагов, сообщает BlackFog: вредоносное ПО для первоначального доступа и эксфильтрации, а затем отдельная полезная нагрузка программы-вымогателя для шифрования, часто с координацией между брокерами первоначального доступа и аффилированными лицами программ-вымогателей.
Фактически, говорится в отчете, автоматизированный сбор учетных данных означает, что кража данных начинается еще до того, как преступный оператор взаимодействует с панелью управления.
Модуль программы-вымогателя для Android в дорожной карте инструмента расширяет это еще дальше, говорится в отчете. «Если разработчик предоставит [модуль программы-вымогателя], одна лицензия Steaelite сможет охватить как корпоративные конечные точки Windows, так и мобильные устройства, которые сотрудники используют для аутентификации и обмена сообщениями».
Steaelite — это вредоносное ПО как услуга (malware-as-a-service). Продавец запрашивает 200 долларов в месяц за доступ или 500 долларов за три месяца, при этом покупатели связываются с продавцом через Telegram для организации оплаты и получения доступа.
Защитникам следует сосредоточиться на предотвращении эксфильтрации данных, а не только на периметральной защите, сказал Уильямс. «Такие инструменты, как Steaelite, предполагают, что они пройдут первоначальную защиту, и отдают приоритет быстрой утечке данных», — сказал он. «Остановка эксфильтрации в момент ее возникновения более надежна, чем попытка предотвратить каждый возможный вектор первоначального заражения».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
