Groźby cyberbezpieczeństwa ujawnione w marcu 2025

Eugeniusz Loaris

Aktualności

Marsz 2025 odnotowano znaczącą ewolucję w taktykach cybernetycznych, z grupami ransomware przyjmującymi nowe techniki i rozszerzają swoją działalność. Badacze bezpieczeństwa zidentyfikowali w tym miesiącu kilka zagrożeń o wysokim wpływie, w tym przejście grupy szpiegowskiej korporacyjnej na ransomware, Nowe narzędzia do unikania EDR, Wyrafinowane ataki państwa narodowego, oraz zwodnicze kampanie phishingowe skierowane do firm. Ta wszechstronna analiza obejmuje najważniejsze zmiany w zakresie cyberbezpieczeństwa, o których powinni wiedzieć specjaliści i firmy zajmujące się bezpieczeństwem.

Główne zagrożenia cyberbezpieczeństwa – Marsz 2025 Główne zagrożenia cyberbezpieczeństwa – marzec 2025 Ocena wpływu w różnych sektorach Usługi finansowe Opieka zdrowotna Rząd Produkcja IT/MSP Wysoki Średni Niski QWCrypt Oprogramowanie ransomware EDRKillShifter Narzędzie Drzwi Wróbla Tylne drzwi Fałszywy plik Konwertery Fałszywy Semrush Wyłudzanie informacji

Źródło: Analizowane dane z Jednostka badawcza zagrożeń Acronis w połączeniu z ocenami wpływu na branżę

RedCurl ewoluuje: Corporate Espionage Group rozpoczyna pierwszą kampanię związaną z oprogramowaniem ransomware z wykorzystaniem QWCrypt

W marcu 26, 2025, badacze bezpieczeństwa zidentyfikowali, że osławiona grupa hakerska RedCurl (znany również jako Earth Kapre i Red Wolf) przestawiła się z tradycyjnych działań w zakresie szpiegostwa korporacyjnego na wdrażanie po raz pierwszy oprogramowania ransomware. Ten strategiczny zwrot oznacza znaczącą ewolucję taktyki grupy, techniki, i procedury (TTP).

Analiza techniczna oprogramowania ransomware QWCrypt

Nowo zidentyfikowany szczep oprogramowania ransomware, o nazwie QWCrypt, jest specjalnie przeznaczony dla maszyn wirtualnych, co czyni go szczególnie niebezpiecznym dla organizacji posiadających zwirtualizowaną infrastrukturę. Łańcuch ataków szkodliwego oprogramowania rozpoczyna się od wyrafinowanych wiadomości e-mail typu spear-phishing zawierających przynęty związane z zasobami ludzkimi. Te e-maile dostarczają złośliwe pliki PDF i pliki ISO, które pobierają złośliwe oprogramowanie za pośrednictwem legalnego pliku wykonywalnego Adobe, wykorzystywanie zaufanych ścieżek aplikacji w celu uniknięcia wykrycia.

Faza ataku Szczegóły techniczne
Wstępny dostęp Wiadomości e-mail typu spear-phishing z przynętami związanymi z HR, zawierające złośliwe pliki PDF i pliki ISO
Wykonanie Sideloading złośliwego oprogramowania za pośrednictwem legalnego pliku wykonywalnego Adobe
Trwałość Modyfikacje rejestru i zaplanowane zadania utworzone z uprawnieniami systemowymi
Ruch boczny Kradzież danych uwierzytelniających i wykorzystywanie niezałatanych luk w zabezpieczeniach
Uderzenie Szyfrowanie maszyn wirtualnych, powodując niesprawność całej infrastruktury

Projekt ransomware wydaje się naśladować elementy znanych grup, takich jak LockBit i HardBit, potencjalnie zmylić wysiłki związane z atrybucją. Szczególnie, badacze nie zidentyfikowali dedykowanego miejsca wycieku powiązanego z tymi atakami, rodząc pytania, czy żądanie okupu jest autentyczne, czy też wdrożenie oprogramowania ransomware odwraca uwagę od tradycyjnej działalności szpiegowskiej grupy.

Cele i dystrybucja geograficzna

W przeszłości RedCurl atakował organizacje w Kanadzie, Niemcy, Norwegia, Wielka Brytania, i Stany Zjednoczone. Przejście grupy na działalność związaną z oprogramowaniem ransomware potencjalnie rozszerza jej profil zagrożeń – od kradzieży danych po zakłócenia operacyjne w tych regionach.

EDRKillShifter: Narzędzie RansomHub do uchylania się od zabezpieczeń łączy wiele grup cyberprzestępczych

W znaczącym rozwoju śledzonym przez cały marzec, badacze bezpieczeństwa odkryli powiązania między trzema oddzielnymi grupami cyberprzestępczymi dzięki wykorzystaniu wspólnego narzędzia do uchylania się od zabezpieczeń o nazwie EDRKillShifter. To narzędzie, pierwotnie opracowany dla podmiotów stowarzyszonych z ransomware-as-a-service RansomHub (RaaS) działanie, wykorzystuje podatne sterowniki, aby wyłączyć wykrywanie i reakcję punktów końcowych (EDR) oprogramowanie.

Możliwości narzędzi i szczegóły techniczne

EDRKillShifter reprezentuje zaawansowaną “przynieś własnego wrażliwego kierowcę” (BYOVD) podejście do wyłączania zabezpieczeń. Narzędzie atakuje legalne, ale podatne na ataki sterowniki systemowe, wykorzystywanie ich do wyłączania środków ochronnych w systemie operacyjnym. Po pomyślnym wdrożeniu, skutecznie oślepia narzędzia bezpieczeństwa przed późniejszymi złośliwymi działaniami.

Nowo zidentyfikowany podmiot zagrażający, nazwany QuadSwitcher, zaobserwowano przy użyciu EDRKillShifter w atakach przypisywanych wielu grupom oprogramowania ransomware, w tym:

  • RansomHub
  • Zagraj w oprogramowanie ransomware
  • Oprogramowanie ransomware Medusa
  • Oprogramowanie ransomware BianLian

Naukowcy potwierdzili powiązanie między tymi grupami, analizując udostępnione próbki EDRKillShifter oraz infrastrukturę serwerów dowodzenia i kontroli, demonstrując, w jaki sposób narzędzia są współużytkowane przez różne operacje oprogramowania ransomware.

Zalecenia obronne

Ponieważ ataki te wymagają dostępu administracyjnego, organizacje mogą wdrożyć kilka środków zapobiegawczych:

  1. Zaimplementuj listę blokowanych sterowników dla znanych, podatnych na ataki sterowników
  2. W celu ochrony użyj funkcji listy blokowanych sterowników programu Windows Defender
  3. Monitoruj zdarzenia ładowania sterowników, szczególnie te związane z narzędziami stron trzecich
  4. Wdrażaj zaawansowane rozwiązania EDR, które potrafią wykryć próby wyłączenia oprogramowania zabezpieczającego
  5. Wdrażaj silną kontrolę dostępu, aby uniemożliwić atakującym uzyskanie uprawnień administracyjnych

Wzrost liczby zabójców EDR podkreśla niepokojący trend w taktyce oprogramowania ransomware, ponieważ ugrupowania zagrażające stale dostosowują się, aby ominąć coraz bardziej wyrafinowane zabezpieczenia.

Chińska grupa APT FamousSparrow rozwija zestaw narzędzi do ataków z ShadowPadem

Badacze bezpieczeństwa zidentyfikowali ukierunkowane ataki na USA. grupa handlowa i meksykański instytut badawczy przypisuje się chińskiemu zaawansowanemu, trwałemu zagrożeniu (TRAFNY) grupa FamousSparrow. Kampania, po raz pierwszy wykryty na początku marca 2025, obejmuje wdrożenie charakterystycznego dla grupy backdoora SparrowDoor wraz ze złośliwym oprogramowaniem ShadowPad – co oznacza pierwszą zaobserwowaną instancję FamousSparrow przy użyciu tego konkretnego narzędzia.

Szczegóły techniczne ataku

Analiza kampanii ujawniła dwie nowe wersje SparrowDoor, w tym znacznie ulepszony wariant modułowy z ulepszonymi możliwościami wykonywania poleceń. Sekwencja ataku jest zgodna ze schematem znanym podmiotom z państw narodowych:

  1. Wstępny dostęp: Wykorzystanie luk w zabezpieczeniach przestarzałych systemów Windows Server i Microsoft Exchange Server
  2. Trwałość: Wdrożenie zaawansowanej powłoki internetowej w celu utrzymania dostępu
  3. Dostawa ładunku: Instalacja backdoora SparrowDoor i złośliwego oprogramowania ShadowPad

Modułowa wersja SparrowDoor obsługuje wiele zaawansowanych funkcji, w tym:

  • Rejestrowanie naciśnięć klawiszy w celu kradzieży danych uwierzytelniających
  • Przesyłanie plików w celu eksfiltracji danych
  • Manipulacja procesami w celu zachowania ukrycia
  • Zdalne przechwytywanie pulpitu w celu gromadzenia informacji wizualnych

ShadowPad, modułowy backdoor powszechnie kojarzony ze sponsorowanymi przez chińskie państwo ugrupowaniami cyberprzestępczymi, znacząco rozszerza możliwości FamousSparrow, sugerując potencjalną współpracę lub wymianę narzędzi pomiędzy chińskimi grupami APT.

Ostrzeżenie FBI: Fałszywe konwertery plików kradnące informacje i wdrażające oprogramowanie ransomware

Biuro terenowe FBI w Denver wydało pilne ostrzeżenie po zaobserwowaniu wzrostu liczby raportów o wykorzystywaniu fałszywych konwerterów dokumentów online do kradzieży poufnych informacji i instalowania oprogramowania ransomware. To ostrzeżenie, wydany w marcu 20, 2025, podkreśla niepokojący trend skierowany zarówno do użytkowników indywidualnych, jak i biznesowych.

Jak działa atak

Cyberprzestępcy tworzą zwodnicze strony internetowe, które rzekomo zapewniają bezpłatne usługi konwersji dokumentów, ale ukrywają złośliwe intencje:

  1. Użytkownicy poszukujący narzędzi do konwersji dokumentów trafiają na te witryny, często promowane za pomocą reklam Google
  2. Witryny wydają się uzasadnione i mogą faktycznie zapewniać obiecaną funkcjonalność konwersji
  3. Gdy użytkownicy przesyłają dokumenty do konwersji, witryny te wyodrębniają poufne informacje z zawartości plików
  4. Zwrócone przekonwertowane pliki zawierają osadzone złośliwe oprogramowanie, które ustanawia zdalny dostęp
  5. W cięższych przypadkach, zainstalowane jest oprogramowanie ransomware, szyfrowanie plików ofiary

Badacze zidentyfikowali wiele wskaźników, które pomagają zidentyfikować te fałszywe witryny konwertujące:

Znak ostrzegawczy Detale
Wiek domeny Zwykle zarejestrowany w przeszłości 30 dni
Polityka prywatności Brakujące lub bardzo niejasne informacje dotyczące prywatności
Informacje kontaktowe Brak legalnych biznesowych danych kontaktowych
Certyfikat SSL Często korzysta się z bezpłatnych certyfikatów z minimalną walidacją
Projekt strony internetowej Klon legalnych usług z niewielkimi modyfikacjami

Szkodliwe oprogramowanie dostarczane za pośrednictwem tych usług może wyodrębnić szeroki zakres poufnych informacji, łącznie z nazwiskami, hasła, nasiona kryptowalut, i referencje bankowe, co prowadzi do znacznych strat finansowych dla ofiar.

Zapobieganie atakom fałszywych konwerterów

Aby chronić się przed tymi zagrożeniami, FBI zaleca kilka środków zapobiegawczych:

  • Używaj tylko ustalonych, renomowane narzędzia i usługi do konwersji plików
  • Zainstaluj kompleksowe oprogramowanie zabezpieczające, które potrafi identyfikować złośliwe strony internetowe
  • Przed przesłaniem poufnych dokumentów sprawdź legalność witryny
  • Podczas obsługi poufnych informacji rozważ użycie narzędzi do konwersji offline
  • Regularnie twórz kopie zapasowe najważniejszych plików, aby umożliwić ich odzyskanie w przypadku ataku oprogramowania ransomware

Dla firm i osób, które już padły ofiarą tego rodzaju oszustw, podpowiedź proces usuwania złośliwego oprogramowania jest niezbędne, aby złagodzić potencjalne szkody.

Specjaliści SEO będący celem wyrafinowanej kampanii phishingowej

Nowo zidentyfikowana kampania phishingowa jest skierowana w szczególności do specjalistów SEO korzystających z fałszywych reklam Semrush Google Ads zaprojektowanych w celu kradzieży danych uwierzytelniających konta Google. Semrush, popularna platforma SaaS dostarczająca narzędzia do SEO, reklama internetowa, i marketingu treści, podszywa się pod tę wysoce ukierunkowaną kampanię.

Szczegóły i cele kampanii

Analitycy bezpieczeństwa uważają, że za tą kampanią stoi brazylijska grupa zagrożeń, którego celem jest w szczególności przechwytywanie kont Google Ads w celu przeprowadzania dalszych ataków zawierających złośliwe reklamy. Operacja ta pokazuje wyrafinowane zrozumienie ekosystemu marketingu cyfrowego:

  1. Atakujący tworzą przekonujące witryny phishingowe naśladujące interfejs Semrush
  2. Witryny te używają nazw domen podobnych do Semrush, ale z różnymi domenami najwyższego poziomu
  3. Ofiary są zmuszone do uwierzytelnienia za pośrednictwem “Zaloguj się za pomocą Google” funkcjonalność
  4. Po wprowadzeniu poświadczeń, napastnicy uzyskują dostęp do konta Google ofiary
  5. Dostęp ten umożliwia kradzież wrażliwych danych biznesowych z Google Analytics i Google Search Console

W powiązanym rozwoju, kolejna trwająca kampania phishingowa wykorzystuje fałszywe reklamy DeepSeek w wynikach wyszukiwania Google w celu dostarczenia trojana Heracles MSIL, złośliwe oprogramowanie kradnące informacje, którego celem są portfele kryptowalut. Ta kampania wykorzystuje sponsorowane wyniki wyszukiwania Google w celu kierowania ofiar do złośliwych witryn rozpowszechniających złodzieja informacji.

Wpływ przemysłu i zapobieganie

Te kampanie phishingowe podkreślają ewoluujący charakter ataków ukierunkowanych na określone grupy zawodowe. Specjaliści ds. SEO i marketingu cyfrowego powinni wdrożyć dodatkowe środki bezpieczeństwa, w tym:

  • Włączanie uwierzytelniania wieloskładnikowego na wszystkich kontach Google
  • Przed wprowadzeniem danych uwierzytelniających należy dokładnie sprawdzić adres URL stron logowania
  • Korzystanie z menedżerów haseł z możliwością wykrywania phishingu
  • Jestem sceptyczny wobec Google Ads dla usług oprogramowania, nawet jeśli pojawiają się na górze wyników wyszukiwania
  • Wdrażanie ogólnofirmowych szkoleń uświadamiających w zakresie bezpieczeństwa dotyczących tych konkretnych zagrożeń

Organizacje powinny również rozważyć wdrożenie kompleksowe rozwiązania w zakresie bezpieczeństwa które mogą automatycznie wykrywać i blokować próby phishingu i pobieranie złośliwego oprogramowania.

Skoordynowana obrona: Reagowanie na ewoluujący krajobraz zagrożeń

Jak pokazują te zagrożenia, Taktyki cyberprzestępcze stale ewoluują pod względem wyrafinowania i wpływu. Organizacje powinny przyjąć wielowarstwowe podejście do bezpieczeństwa, które obejmuje:

  1. Zarządzanie lukami w zabezpieczeniach: Utrzymuj aktualną inwentaryzację systemów i regularnie wdrażaj łatki, szczególnie w przypadku aplikacji internetowych, takich jak Microsoft Exchange.
  2. Bezpieczeństwo poczty e-mail: Wdrażaj zaawansowane rozwiązania do filtrowania poczty e-mail, aby wykrywać i blokować wyrafinowane próby phishingu, szczególnie te, które używają przynęt z motywem HR.
  3. Rozwiązania EDR/XDR: Wdrażaj nowoczesne platformy ochrony punktów końcowych, które potrafią wykrywać i reagować na próby wyłączania narzędzi bezpieczeństwa.
  4. Świadomość bezpieczeństwa: Prowadzić regularne szkolenia dla pracowników, ze szczególnym naciskiem na rozpoznawanie prób phishingu i podejrzanych stron internetowych.
  5. Planowanie reakcji na incydenty: Opracuj i regularnie testuj procedury reagowania na incydenty, aby zapewnić szybkie zabezpieczenie i przywrócenie działania w przypadku naruszenia bezpieczeństwa.

Konwergencja operacji ransomware, taktyka państwa narodowego, i ukierunkowane kampanie phishingowe tworzą wymagające środowisko bezpieczeństwa, które wymaga czujności i proaktywnych środków ochrony. Będąc na bieżąco z pojawiającymi się zagrożeniami i wdrażając odpowiednie środki bezpieczeństwa, organizacje mogą zmniejszyć narażenie na ryzyko w tym zmieniającym się krajobrazie.

Dla osób i firm zaniepokojonych potencjalnymi infekcjami, rozważ użycie narzędzi takich jak Narzędzie do usuwania trojanów do skanowania i eliminowania złośliwego oprogramowania, które mogło już zagrozić Twoim systemom.

PUA:Win32/rdpwrap – Co robić?

Zostaw komentarz