חדש שנחשף קמפיין דיוג ארגוני התמקדות במשתמשי Microsoft Windows מספקת שלל של סוסים טרויאניים בגישה מרחוק (RAT) ותוכנות זדוניות אחרות תחת כיסוי של טכניקות גילוי-התחמקות מרובות.
התוקפים שמאחורי הקמפיין מנסים לפתות משתמשים ללחוץ על קובץ מצורף שבסופו של דבר משתמש בכלי ScrubCrypt כדי לספק בעיקר את גירסת VenomRAT 6, אם כי גם תוכנות זדוניות אחרות בהן נעשה שימוש לעתים קרובות משויכות עם הקמפיין, חוקרים ממחקר האיומים FortiGuard Labs של Fortinet חשפו בפוסט בבלוג.
בעוד שה-RAT שומר על קשר עם שרת הפקודה והבקרה (C2) של התוקפים, המתקפה מפילה תוספות כולל RATCOS RAT, XWorm, NanoCore RAT, וגנב המיועד לארנקי קריפטו ספציפיים, לדברי החוקרים.
בסופו של דבר הקמפיין נועד לגנוב נתונים קריטיים ממערכות ממוקדות - לכאורה כדי לשמש בהתקפות עתידיות - כמו גם להשיג התמדה ברשת של הקורבן, לפי הפוסט.
"התוקפים משתמשים במגוון שיטות, כולל דיוג מיילים עם קבצים מצורפים זדוניים, קבצי סקריפט מעורפלים ו-Guloader PowerShell, כדי לחדור ולסכן מערכות קורבנות", כתבה קארה לין, אנליסטית אנטי-וירוס בכירה בפורטינט. "יתר על כן, פריסת תוספים דרך מטענים שונים מדגישה את הרבגוניות וההתאמה של מסע התקיפה."
VenomRAT הוא כלי ששימש בעבר את כנופיית 8220, קבוצת פושעי סייבר שמשתמשת בבוטנט רב עוצמה כנשק הבחירה שלה. ScrubCrypt, בינתיים, ממיר קובצי הפעלה לקבצי אצווה בלתי ניתנים לזיהוי, ומספק "מספר אפשרויות לתפעל תוכנות זדוניות, מה שהופך את זה למאתגר יותר עבור מוצרי אנטי-וירוס לזהות", ציין לין.
Phony Invoice Phish
מסע הפרסום מתחיל בדרך כלל באימייל דיוג המציין כי משלוח נמסר עם "חשבונית" מצורפת שהיא למעשה קובץ SVG בשם "INV0ICE_#TBSBVS0Y3BDSMMX.svg" ומכיל נתונים מקודדים בבסיס 64.
אם משתמש ממוקד פותח את קובץ ה-SVG, ה-ECMAScript יוצר כתם חדש ומשתמש ב-"window.URL.createObjectURL" כדי לשחרר את הנתונים המפוענחים כקובץ ZIP בשם "INV0ICE_#TBSBVS0Y3BDSMMX.zip." הקובץ המפורק חושף קובץ אצווה מעורפל עם מטען מוטבע שנראה כאילו נוצר על ידי הכלי BatCloak, המפיץ תוכנות זדוניות תוך התחמקות יעילה מזיהוי על ידי תוכנת אנטי-וירוס, הסביר לין.
הסקריפט המוטבע מעתיק תחילה קובץ הפעלה של PowerShell ל-"C:UsersPublicxkn.exe" ומשתמש בקובץ המועתק בפקודות מאוחרות יותר, תוך שימוש בפרמטרים המסתירים את פעילותו. לאחר מכן הוא מפענח את הנתונים הזדוניים ושומר אותם כ-"pointer.png", שמתבצע מאוחר יותר כ-"pointer.cmd" ומוחק את כל הקבצים שבוצעו בעבר.
ScrubCrypt מספק VenomRAT
הקובץ "pointer.cmd" משמש כקובץ האצווה של ScrubCrypt, והוא "עמוס בכוונה במחרוזות זבל רבים כדי לטשטש את הקריאה", כתב לין. הקובץ משלב שני מטענים, כאשר הראשון שבהם משרת שתי מטרות עיקריות: ביסוס התמדה וטעינת התוכנה הזדונית הממוקדת, VenomRAT. המטען השני מקובץ האצווה ScrubCrypt הוא עבור מעקף AMSI ומעקף ETW, היא ציינה.
VenomRAT זוהה לראשונה בשנת 2020 ומשתמש בגרסה שונה של ה-Quasar RAT הידוע. זה מאפשר לתוקפים להשיג גישה ושליטה בלתי מורשית על מערכות ממוקדות. "כמו עם RATs אחרים, VenomRAT מאפשר לתוקפים לתמרן מכשירים שנפגעו מרחוק, מה שמאפשר להם לבצע פעילויות זדוניות שונות ללא ידיעתו או הסכמתו של הקורבן", כתב לין.
לאחר הפריסה, VenomRAT יוזמת תקשורת עם שרת ה-C2 שלה כדי לשלוח מידע על הקורבן, כגון מפרטי חומרה, שם משתמש, פרטי מערכת הפעלה, זמינות מצלמה, נתיב ביצוע, שם חלון הקדמי ושם מוצר האנטי-וירוס המותקן. לאחר מכן הוא מקיים ערוצי תקשורת עם שרת C2 כדי לרכוש את הנוסף הנ"ל תוספים על פעילויות קשורות ואחרות, כשהמתקפה נמשכת משם, כתב לין.
בולטים בין התוספים הללו הם שלושה RATs המשמשים לעתים קרובות למטרות מרושעות שונות, כולל RATCOS RAT, המעניק לתוקפים שליטה מלאה במערכת כדי ללכוד הקשות, צילומי מסך, אישורים ומידע רגיש אחר; NanoCore RAT, שיכול לגשת מרחוק למחשב של הקורבן ולשלוט בו; ו Xworm, שיכול לטעון תוכנת כופר או לפעול כדלת אחורית מתמשכת.
דרושה עירנות
מכיוון שמסע התקפות הסייבר הזה משתמש במספר שכבות של טכניקות ערפול והתחמקות, חשוב לארגונים להישאר ערניים.
"היכולת של התוקפים להתמיד במערכת, להתחמק מזיהוי ולבצע מטענים זדוניים מדגישה את החשיבות של אמצעי אבטחת סייבר חזקים וניטור ערני כדי לצמצם איומים כאלה ביעילות", ציין לין.
ארגונים צריכים לחנך את המשתמשים לגבי סימני ההיכר של קמפיין דיוג ועודדו אותם לדווח על פעילות חשודה למחלקות IT, כמו גם להימנע מהורדת קבצים או לחיצה על קישורים ממקורות לא מהימנים.
למרות הטקטיקות המתחמקות שלה, מערכת זיהוי אנטי-וירוס חזקה אמורה לקלוט את התוכנה הזדונית הנכנסת לרשת, ומערכת שכוללת שירות ביטול מנשק ובנייה מחדש של תוכן גם מועילה להשבית את פקודות המאקרו הזדוניות במסמך לפני שהן יכולות לגרום נזק כלשהו. לין כתב.
Fortiguard כללה רשימה של אינדיקטורים לפשרה עבור מסע הפרסום הספציפי של VenomRAT בפוסט, כולל דומיינים משויכים של C2, כתובות URL הקשורות למתקפה וקבצים שהמתקפה מפיצה.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/remote-workforce/cagey-phishing-attack-delivers-multiple-rats-to-steal-windows-data
- :יש ל
- :הוא
- $ למעלה
- 2020
- 6
- a
- יכולת
- אודות
- גישה
- פי
- השגתי
- לרכוש
- לפעול
- פעילויות
- פעילות
- למעשה
- הסתגלות
- נוסף
- מכוון
- תעשיות
- מאפשר
- מאפשר
- גם
- למרות
- בין
- an
- מנתח
- ו
- אנטי וירוס
- כל
- מופיע
- ARE
- AS
- המשויך
- At
- מְצוֹרָף
- לתקוף
- תוקפים
- המתקפות
- זמינות
- לְהִמָנַע
- דלת אחורית
- BE
- היה
- לפני
- מאחור
- בלוג
- בוטנט
- by
- לעקוף
- חדר
- מבצע
- קמפיינים
- CAN
- ללכוד
- אתגר
- ערוצים
- בחירה
- לחיצה
- תקשורת
- להשלים
- פשרה
- התפשר
- המחשב
- לְהַסתִיר
- הקשר
- הסכמה
- מכיל
- תוכן
- ממשיך
- לִשְׁלוֹט
- המתגייר
- עותקים
- לכסות
- נוצר
- יוצר
- אישורים
- קריטי
- קריפטו
- ארנקים
- התקפת סייבר
- פושע רשת
- אבטחת סייבר
- נתונים
- מוחק
- למסור
- נתן
- אספקה
- מספק
- מחלקות
- פרס
- פריסה
- מעוצב
- פרטים
- לאתר
- איתור
- התקנים
- אחר
- do
- מסמך
- תחומים
- הורדה
- ירידה
- טיפות
- ECMAScript
- לחנך
- יעילות
- אמייל
- מיילים
- מוטבע
- מעסיקה
- מאפשר
- לעודד
- הזנת
- חברות
- מקימים
- Ether (ETH)
- בריחה
- התחמקות
- לבצע
- יצא לפועל
- הוצאת להורג
- מוסבר
- חשוף
- שלח
- קבצים
- ראשון
- מתרוצץ
- בעד
- פורטינט
- החל מ-
- יתר על כן
- עתיד
- לְהַשִׂיג
- נותן
- קְבוּצָה
- חומרה
- לפגוע
- מועיל
- פסים
- HTTPS
- מזוהה
- חשיבות
- חשוב
- in
- כלול
- כולל
- כולל
- משלבת
- אינדיקטורים
- מידע
- בהתחלה
- יוזם
- מותקן
- אל תוך
- חשבונית
- IT
- שֶׁלָה
- jpg
- ידע
- מעבדות
- מאוחר יותר
- שכבות
- לין
- קישורים
- רשימה
- לִטעוֹן
- טוען
- פקודות מאקרו
- שומר
- עשייה
- זדוני
- תוכנות זדוניות
- לתפעל
- בינתיים
- אמצעים
- שיטות
- מיקרוסופט
- Microsoft Windows
- להקל
- שונים
- ניטור
- יותר
- מספר
- שם
- שם
- רשת
- חדש
- חדש
- ציין
- רב
- of
- לעתים קרובות
- on
- ONE
- נפתח
- פועל
- מערכת הפעלה
- אפשרויות
- or
- לכאורה
- אחר
- יותר
- פרמטרים
- נתיב
- התמדה
- phish
- דיוג
- התקפת דיוג
- מְזוּיָף
- לבחור
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- תוספים
- הודעה
- חזק
- PowerShell
- קוֹדֶם
- בראש ובראשונה
- יְסוֹדִי
- המוצר
- מוצרים
- תָכְנִית
- מתן
- למטרות
- Quasar
- ransomware
- דרג
- קָשׁוּר
- מרחוק
- גישה מרחוק
- מרחוק
- לדווח
- נדרש
- מחקר
- חוקרים
- גילה
- מגלה
- חָסוֹן
- s
- צילומי מסך
- תסריט
- שְׁנִיָה
- לשלוח
- לחצני מצוקה לפנסיונרים
- רגיש
- שרת
- משמש
- שרות
- כמה
- היא
- צריך
- שלטים
- מקורות
- ספציפי
- מפרטים
- התחלות
- לפי
- להשאר
- לגנוב
- חזק
- כזה
- חשוד
- SVG
- מערכת
- מערכות
- טקטיקה
- ממוקד
- מיקוד
- טכניקות
- זֶה
- השמיים
- אותם
- אז
- שם.
- הֵם
- זֶה
- אלה
- איום
- איומים
- שְׁלוֹשָׁה
- דרך
- ל
- כלי
- לנסות
- שתיים
- בדרך כלל
- בסופו של דבר
- לא מורשה
- תחת
- קו תחתון
- כתובת האתר
- מְשׁוּמָשׁ
- משתמש
- שם משתמש
- משתמשים
- שימושים
- באמצעות
- מנצל
- מגוון
- שונים
- צדדיות
- גרסה
- קרבן
- עֵרָנוּת
- ארנקים
- היה
- טוֹב
- מוכר
- אשר
- בזמן
- חלון
- חלונות
- עם
- לְלֹא
- כתב
- זפירנט
- רוכסן