Търсене
Close this search box.

Изследователи в областта на киберсигурността хвърлиха светлина върху краткотрайна кампания на зловреден софтуер DarkGate, която е използвала споделянето на файлове Samba за иницииране на инфекциите.

Unit 42 на Palo Alto Networks заяви, че активността е обхванала месеците март и април 2024 г., като веригите за заразяване са използвали сървъри, на които са били инсталирани публични файлови споделяния Samba, хостващи файлове Visual Basic Script (VBS) и JavaScript. Целите включват Северна Америка, Европа и части от Азия.

„Това беше сравнително краткотрайна кампания, която илюстрира как заплахите могат креативно да злоупотребяват с легитимни инструменти и услуги, за да разпространяват своя зловреден софтуер“, заявиха изследователите по сигурността Вишва Тотхатри, Иджи Суи, Анмол Маурия, Удай Пратап Сингх и Брад Дънкан.

DarkGate, която се появи за първи път през 2018 г., се превърна в оферта за зловреден софтуер като услуга (MaaS), използвана от строго контролиран брой клиенти. То се предлага с възможности за дистанционно управление на компрометирани хостове, изпълнение на код, добив на криптовалута, стартиране на обратни шелове и пускане на допълнителни полезни товари.

Атаките, включващи зловредния софтуер, отбелязаха особено голям ръст през последните месеци, след като през август 2023 г. многонационалните правоприлагащи органи прекъснаха инфраструктурата на QakBot.

Кампанията, документирана от Unit 42 на Palo Alto Networks, започва с файлове Microsoft Excel (.xlsx), които при отваряне подтикват мишените да кликнат върху вграден бутон Open, който на свой ред извлича и изпълнява VBS код, разположен на споделен файл в Samba.

Скриптът PowerShell е конфигуриран за извличане и изпълнение на скрипт PowerShell, който след това се използва за изтегляне на пакет DarkGate, базиран на AutoHotKey.

Алтернативните последователности, използващи JavaScript файлове вместо VBS, не се различават по това, че те също са проектирани да изтеглят и изпълнят последващия PowerShell скрипт.

DarkGate работи, като сканира за различни програми за борба със зловреден софтуер и проверява информацията за процесора, за да определи дали той работи на физически хост или във виртуална среда, като по този начин позволява да се възпрепятства анализът. Той също така проверява изпълняваните процеси на хоста, за да определи наличието на инструменти за обратно инженерство, дебъгъри или софтуер за виртуализация.

„Трафикът на DarkGate C2 използва некриптирани HTTP заявки, но данните са замаскирани и изглеждат като Base64-кодиран текст“, казват изследователите.

„Тъй като DarkGate продължава да се развива и да усъвършенства методите си за проникване и устойчивостта си на анализ, той остава силно напомняне за необходимостта от стабилни и проактивни защити за киберсигурност.“

 

Източник: The Hacker News

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
02/10/2024

Разбиване на облака: Атаки,...

Тъй като организациите все повече внедряват...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!