Хакеры атакуют предприятия Юго-Восточной Азии с помощью USB-носителей

Компания Mandiant Managed Defense выявила вредоносную кампанию, использовавшую USB-устройства в качестве начального вектора заражения. Исследователи отслеживают группировку как UNC4191, затронувшую ряд организаций государственного и частного сектора. На этапе заражения пользователь подключал скомпрометированное съемное устройство и вручную запускал вредоносное ПО MISTCLOAK, замаскированное под легитимную программу driver.exe. MISTCLOAK в свою очередь устанавливал файл usb.ini, содержавший полезную нагрузку DARKDEW. Вредоносное ПО воспроизводилось в системе, пытаясь заразить новые устройства. На последнем этапе устанавливалось соединение с C&C-сервером через библиотеку rzlog4cpp_logger.dll.

Злоумышленники используют устаревшие домены для обхода защиты безопасности

Аналитик Daniel Fonseca опубликовал статью о деятельности группировки CashRewindo, использующей устаревшие домены для внедрения вредоносного кода и фишинговых рассылок. Группировка CashRewindo распространяет рекламу по Европе, Северной и Южной Америке, Азии и Африке, покупая старые сертифицированные домены, чтобы казаться законными для местной аудитории. Жертвы, попавшие на эти целевые сайты, нажимали на зараженную рекламу, активируя скрипты загрузки вредоносного ПО или попадая на фальшивые мошеннические сайты.

Microsoft добавила встроенную защиту Defender for Endpoint

Microsoft объявила в своем блоге, что новая встроенная защита стала доступна для пользователей по подписке. Microsoft Defender for Endpoint (MDE), пришедший на замену Windows Defender, включает защиту от несанкционированного доступа по умолчанию на всех системах. Улучшенная защита достигалась за счет блокировки приложений, которые могли воздействовать на настройки Defender, отключая тем самым IOfficeAntivirus (IOAV), который сканировал подозрительные файлы, загружаемые через Интернет.