Cagey Phishing Attack מפיל מספר RATs כדי לגנוב נתונים

חדש שנחשף קמפיין דיוג ארגוני התמקדות במשתמשי Microsoft Windows מספקת שלל של סוסים טרויאניים בגישה מרחוק (RAT) ותוכנות זדוניות אחרות תחת כיסוי של טכניקות גילוי-התחמקות מרובות.

התוקפים שמאחורי הקמפיין מנסים לפתות משתמשים ללחוץ על קובץ מצורף שבסופו של דבר משתמש בכלי ScrubCrypt כדי לספק בעיקר את גירסת VenomRAT 6, אם כי גם תוכנות זדוניות אחרות בהן נעשה שימוש לעתים קרובות משויכות עם הקמפיין, חוקרים ממחקר האיומים FortiGuard Labs של Fortinet חשפו בפוסט בבלוג.

בעוד שה-RAT שומר על קשר עם שרת הפקודה והבקרה (C2) של התוקפים, המתקפה מפילה תוספות כולל RATCOS RAT, XWorm, NanoCore RAT, וגנב המיועד לארנקי קריפטו ספציפיים, לדברי החוקרים.

בסופו של דבר הקמפיין נועד לגנוב נתונים קריטיים ממערכות ממוקדות - לכאורה כדי לשמש בהתקפות עתידיות - כמו גם להשיג התמדה ברשת של הקורבן, לפי הפוסט.

"התוקפים משתמשים במגוון שיטות, כולל דיוג מיילים עם קבצים מצורפים זדוניים, קבצי סקריפט מעורפלים ו-Guloader PowerShell, כדי לחדור ולסכן מערכות קורבנות", כתבה קארה לין, אנליסטית אנטי-וירוס בכירה בפורטינט. "יתר על כן, פריסת תוספים דרך מטענים שונים מדגישה את הרבגוניות וההתאמה של מסע התקיפה."

VenomRAT הוא כלי ששימש בעבר את כנופיית 8220, קבוצת פושעי סייבר שמשתמשת בבוטנט רב עוצמה כנשק הבחירה שלה. ScrubCrypt, בינתיים, ממיר קובצי הפעלה לקבצי אצווה בלתי ניתנים לזיהוי, ומספק "מספר אפשרויות לתפעל תוכנות זדוניות, מה שהופך את זה למאתגר יותר עבור מוצרי אנטי-וירוס לזהות", ציין לין.

Phony Invoice Phish

מסע הפרסום מתחיל בדרך כלל באימייל דיוג המציין כי משלוח נמסר עם "חשבונית" מצורפת שהיא למעשה קובץ SVG בשם "INV0ICE_#TBSBVS0Y3BDSMMX.svg" ומכיל נתונים מקודדים בבסיס 64.

אם משתמש ממוקד פותח את קובץ ה-SVG, ה-ECMAScript יוצר כתם חדש ומשתמש ב-"window.URL.createObjectURL" כדי לשחרר את הנתונים המפוענחים כקובץ ZIP בשם "INV0ICE_#TBSBVS0Y3BDSMMX.zip." הקובץ המפורק חושף קובץ אצווה מעורפל עם מטען מוטבע שנראה כאילו נוצר על ידי הכלי BatCloak, המפיץ תוכנות זדוניות תוך התחמקות יעילה מזיהוי על ידי תוכנת אנטי-וירוס, הסביר לין.

הסקריפט המוטבע מעתיק תחילה קובץ הפעלה של PowerShell ל-"C:UsersPublicxkn.exe" ומשתמש בקובץ המועתק בפקודות מאוחרות יותר, תוך שימוש בפרמטרים המסתירים את פעילותו. לאחר מכן הוא מפענח את הנתונים הזדוניים ושומר אותם כ-"pointer.png", שמתבצע מאוחר יותר כ-"pointer.cmd" ומוחק את כל הקבצים שבוצעו בעבר.

ScrubCrypt מספק VenomRAT

הקובץ "pointer.cmd" משמש כקובץ האצווה של ScrubCrypt, והוא "עמוס בכוונה במחרוזות זבל רבים כדי לטשטש את הקריאה", כתב לין. הקובץ משלב שני מטענים, כאשר הראשון שבהם משרת שתי מטרות עיקריות: ביסוס התמדה וטעינת התוכנה הזדונית הממוקדת, VenomRAT. המטען השני מקובץ האצווה ScrubCrypt הוא עבור מעקף AMSI ומעקף ETW, היא ציינה.

VenomRAT זוהה לראשונה בשנת 2020 ומשתמש בגרסה שונה של ה-Quasar RAT הידוע. זה מאפשר לתוקפים להשיג גישה ושליטה בלתי מורשית על מערכות ממוקדות. "כמו עם RATs אחרים, VenomRAT מאפשר לתוקפים לתמרן מכשירים שנפגעו מרחוק, מה שמאפשר להם לבצע פעילויות זדוניות שונות ללא ידיעתו או הסכמתו של הקורבן", כתב לין.

לאחר הפריסה, VenomRAT יוזמת תקשורת עם שרת ה-C2 שלה כדי לשלוח מידע על הקורבן, כגון מפרטי חומרה, שם משתמש, פרטי מערכת הפעלה, זמינות מצלמה, נתיב ביצוע, שם חלון הקדמי ושם מוצר האנטי-וירוס המותקן. לאחר מכן הוא מקיים ערוצי תקשורת עם שרת C2 כדי לרכוש את הנוסף הנ"ל תוספים על פעילויות קשורות ואחרות, כשהמתקפה נמשכת משם, כתב לין.

בולטים בין התוספים הללו הם שלושה RATs המשמשים לעתים קרובות למטרות מרושעות שונות, כולל RATCOS RAT, המעניק לתוקפים שליטה מלאה במערכת כדי ללכוד הקשות, צילומי מסך, אישורים ומידע רגיש אחר; NanoCore RAT, שיכול לגשת מרחוק למחשב של הקורבן ולשלוט בו; ו Xworm, שיכול לטעון תוכנת כופר או לפעול כדלת אחורית מתמשכת.

דרושה עירנות

מכיוון שמסע התקפות הסייבר הזה משתמש במספר שכבות של טכניקות ערפול והתחמקות, חשוב לארגונים להישאר ערניים.

"היכולת של התוקפים להתמיד במערכת, להתחמק מזיהוי ולבצע מטענים זדוניים מדגישה את החשיבות של אמצעי אבטחת סייבר חזקים וניטור ערני כדי לצמצם איומים כאלה ביעילות", ציין לין.

ארגונים צריכים לחנך את המשתמשים לגבי סימני ההיכר של קמפיין דיוג ועודדו אותם לדווח על פעילות חשודה למחלקות IT, כמו גם להימנע מהורדת קבצים או לחיצה על קישורים ממקורות לא מהימנים.

למרות הטקטיקות המתחמקות שלה, מערכת זיהוי אנטי-וירוס חזקה אמורה לקלוט את התוכנה הזדונית הנכנסת לרשת, ומערכת שכוללת שירות ביטול מנשק ובנייה מחדש של תוכן גם מועילה להשבית את פקודות המאקרו הזדוניות במסמך לפני שהן יכולות לגרום נזק כלשהו. לין כתב.

Fortiguard כללה רשימה של אינדיקטורים לפשרה עבור מסע הפרסום הספציפי של VenomRAT בפוסט, כולל דומיינים משויכים של C2, כתובות URL הקשורות למתקפה וקבצים שהמתקפה מפיצה.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/remote-workforce/cagey-phishing-attack-delivers-multiple-rats-to-steal-windows-data