Търсене
Close this search box.

MICROSOFT: ХАКЕРИ АТАКУВАТ АВИОКОМПАНИИ ЧРЕЗ НОВ ЗЛОВРЕДЕН СОФТУЕР

Microsoft предупреждава за продължаваща  спиър  фишинг кампания, насочена към авиокомпании и туристически организации чрез множество троянци за отдалечен достъп (RAT), внедрявани с помощта на нов мегод за зареждане.

„През последните няколко месеца Microsoft проследява динамична кампания, насочена към аерокосмическия и туристическия сектор с имейли за фишинг, които разпространяват активно разработен лоудър, който след това доставя RevengeRAT или AsyncRAT“, казва Microsoft.

Фишинг имейлите подвеждат легитимни организации и използват имитационни примамки, представящи се за PDF документи, съдържащи информация, свързана с няколко сектора на индустрията, включително авиацията, пътуванията и товарите.

Както Microsoft забеляза по време на проследяването на тази кампания, крайната цел на хакерската група е да събира и извлича данни от заразени устройства, използвайки възможностите за дистанционно управление, регистриране на ключове и кражба на пароли на RAT.

Веднъж внедрен, зловредният софтуер им позволява да „откраднат идентификационни данни, екранни снимки и данни от уебкамери, данни от браузър и клипборд, система и мрежа  и най- често извеждат откраднатата информация чрез SMTP порт 587.“

RAT Loader –  проектиран да заобикаля откриването

Новооткритият лоудер, монетизиран по модел Crypter-as-a-Service, наречен Snip3, от анализаторите на злонамерен софтуер Morphisec, се използва за изпускане на полезния товар на Revenge RAT, AsyncRAT, Agent Tesla и NetWire RAT на компрометирани системи.

Връзките, които злоупотребяват с легитимни уеб услуги и са вградени в съобщенията за фишинг, изтеглят VBS файловете на първия етап VBScript, които изпълняват скрипт PowerShell на втория етап, който от своя страна изпълнява крайния полезен товар на RAT, използвайки Process Hollowing.

Snip3 се предлага и с възможността да идентифицира sandbox среда и виртуална среда според Morphisec, което го прави особено способен да заобикаля анти-зловредни решения, насочени към откриване.

За да избегне откриването, зловредният софтуер използва допълнителни техники, включително

  • изпълнение на кода на PowerShell с параметъра ‘remotesigned’
  • използване на Pastebin и top4top за постановка
  • компилация на RunPE лоудъри на крайната точка по време на изпълнение

 

Snip3 attack flow

Организациите могат да използват примерни заявки, споделени от Microsoft за advanced hunting  с помощта на Microsoft 365 Defender, за да им помогнат да открият и разследват подобно подозрително поведение, свързано с тази текуща фишинг кампания.

 

 

Източник: e-security.bg

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
24/07/2024

Юлските актуализации за сиг...

Microsoft предупреди, че след инсталирането на...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
23/07/2024

Гърция пребори успешно въл...

Агенцията за поземлен регистър в Гърция...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!