Оперативные меры Microsoft: Почему она отключила протокол?

В ответ на растущую угрозу атак вредоносного ПО команда Microsoft Project приняла оперативные меры, отключив широко используемый обработчик протокола ms-appinstaller. Этот стратегический шаг является частью усилий Microsoft по использованию своих инструментов анализа киберугроз для противодействия вызывающей тревогу эксплуатации этого протокола многочисленными угрожающими субъектами, намеревающимися распространять вредоносное ПО. Атаки с использованием выкупного ПО становятся все более опасными.

Раскрытие угрозы

Команда Microsoft Threat Intelligence, используя передовые средства анализа киберугроз, обнаружила использование обработчика протокола ms-appinstaller в качестве вектора доступа для распространения вредоносного ПО. В результате компания приняла решение отключить обработчик протокола по умолчанию. Цель компании – защитить пользователей от потенциальных опасностей, связанных с вредоносными действиями.

Вредоносное ПО Microsoft Project: Комплект на продажу

Усугубляет угрозу то, что киберпреступники активно продают набор вредоносных программ в качестве услуги, используя формат файлов MSIX и обработчик протокола ms-appinstaller. Для борьбы с этой новой угрозой компания Microsoft внесла изменения в программу установки приложений версии 1.21.3421.0 и выше, что свидетельствует о ценности эффективных каналов анализа угроз.

Метод атаки

Атаки, организованные по меньшей мере четырьмя финансово мотивированными хакерскими группами, включают в себя развертывание подписанных вредоносных пакетов приложений MSIX. Мошенники обманным путем распространяют эти пакеты через доверенные каналы, такие как Microsoft Teams. Они также маскируют их под рекламу легитимного программного обеспечения в поисковых системах, таких как Google.

Различные участники угроз в действии

С середины ноября 2023 года было выявлено несколько хакерских групп, эксплуатирующих сервис App Installer. Каждая из них применяет свою тактику и подчеркивает необходимость наличия надежных источников информации об угрозах:

1. Storm-0569: Использует SEO-заражение с помощью поддельных сайтов для распространения BATLOADER, развертывания Cobalt Strike и Black Basta ransomware.
2. Storm-1113: Распространяет EugenLoader, замаскированный под Zoom, служащий точкой входа для различных вредоносных программ-вымогателей и троянов удаленного доступа.
3. Sangria Tempest (Carbon Spider и FIN7): Использует EugenLoader от Storm-1113 для сброса Carbanak и распространения POWERTRASH через рекламу Google.
4. Storm-1674: рассылает поддельные целевые страницы через сообщения Teams. Он также предлагает пользователям загрузить вредоносные инсталляторы MSIX, содержащие полезную нагрузку SectopRAT или DarkGate.

Microsoft: Постоянные угрозы и прошлые действия

Microsoft уже не в первый раз отключает обработчик протокола MSIX ms-appinstaller. В феврале 2022 года компания также предприняла аналогичный шаг, чтобы помешать доставке Emotet, TrickBot и Bazaloader. Привлекательность протокола для угроз заключается в его способности обходить защитные механизмы. Однако это создает серьезную проблему для безопасности пользователей.

Перечисляя свои прошлые действия и сохраняя бдительность в борьбе с развивающимися угрозами кибербезопасности, компания Microsoft призывает пользователей оставаться в курсе событий и использовать лучшие практики для повышения своей цифровой безопасности. Это включает в себя регулярное обновление, осторожность при загрузке и информирование о новых угрозах в постоянно меняющемся ландшафте онлайн-безопасности, что подчеркивает важность инструментов анализа киберугроз.