Изследователи в областта на киберсигурността хвърлиха светлина върху краткотрайна кампания на зловреден софтуер DarkGate, която е използвала споделянето на файлове Samba за иницииране на инфекциите.
Unit 42 на Palo Alto Networks заяви, че активността е обхванала месеците март и април 2024 г., като веригите за заразяване са използвали сървъри, на които са били инсталирани публични файлови споделяния Samba, хостващи файлове Visual Basic Script (VBS) и JavaScript. Целите включват Северна Америка, Европа и части от Азия.
„Това беше сравнително краткотрайна кампания, която илюстрира как заплахите могат креативно да злоупотребяват с легитимни инструменти и услуги, за да разпространяват своя зловреден софтуер“, заявиха изследователите по сигурността Вишва Тотхатри, Иджи Суи, Анмол Маурия, Удай Пратап Сингх и Брад Дънкан.
DarkGate, която се появи за първи път през 2018 г., се превърна в оферта за зловреден софтуер като услуга (MaaS), използвана от строго контролиран брой клиенти. То се предлага с възможности за дистанционно управление на компрометирани хостове, изпълнение на код, добив на криптовалута, стартиране на обратни шелове и пускане на допълнителни полезни товари.
Атаките, включващи зловредния софтуер, отбелязаха особено голям ръст през последните месеци, след като през август 2023 г. многонационалните правоприлагащи органи прекъснаха инфраструктурата на QakBot.
Кампанията, документирана от Unit 42 на Palo Alto Networks, започва с файлове Microsoft Excel (.xlsx), които при отваряне подтикват мишените да кликнат върху вграден бутон Open, който на свой ред извлича и изпълнява VBS код, разположен на споделен файл в Samba.
Скриптът PowerShell е конфигуриран за извличане и изпълнение на скрипт PowerShell, който след това се използва за изтегляне на пакет DarkGate, базиран на AutoHotKey.
Алтернативните последователности, използващи JavaScript файлове вместо VBS, не се различават по това, че те също са проектирани да изтеглят и изпълнят последващия PowerShell скрипт.
DarkGate работи, като сканира за различни програми за борба със зловреден софтуер и проверява информацията за процесора, за да определи дали той работи на физически хост или във виртуална среда, като по този начин позволява да се възпрепятства анализът. Той също така проверява изпълняваните процеси на хоста, за да определи наличието на инструменти за обратно инженерство, дебъгъри или софтуер за виртуализация.
„Трафикът на DarkGate C2 използва некриптирани HTTP заявки, но данните са замаскирани и изглеждат като Base64-кодиран текст“, казват изследователите.
„Тъй като DarkGate продължава да се развива и да усъвършенства методите си за проникване и устойчивостта си на анализ, той остава силно напомняне за необходимостта от стабилни и проактивни защити за киберсигурност.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.