С февраля 2024 года в Европе наблюдаются атаки, использующие Windows File Explorer и протокол WebDAV. Эти атаки усилились в сентябре 2024 года, как сообщает GBHackers News.
Методы атак
Злоумышленники применяют прямые ссылки, файлы URL и ярлыки LNK для скрытого открытия удалённых серверов WebDAV через Windows File Explorer. Это позволяет внедрять трояны удалённого доступа, такие как AsyncRAT, XWorm RAT и DcRAT.
Цели и последствия
Основными целями атак являются корпоративные сети в Европе. Примерно половина фишинговых писем содержат поддельные финансовые счета на немецком языке. Исследователи выявили семь доменов Cloudflare Tunnel, использующихся для размещения нелегальных серверов WebDAV.
Рекомендации по защите
Организациям рекомендуется отключить ненужные клиентские службы WebDAV и следить за подозрительным трафиком WebDAV, SMB, FTP и CIFS. Это поможет снизить риск компрометации сетей.
