Кампанията за доставяне на зловредния софтуер AsyncRAT на избрани цели е активна поне от 11 месеца, като са използвани стотици уникални образци на зареждащи устройства и над 100 домейна.
AsyncRAT е инструмент с отворен код за отдалечен достъп (RAT) за Windows, публично достъпен от 2019 г., с функции за отдалечено изпълнение на команди, записване на клавиши, ексфилтрация на данни и пускане на допълнителни полезни товари.
През годините инструментът е бил широко използван от киберпрестъпниците, в оригиналния си вид или в модифицирана форма, за установяване на опорна точка в целта, кражба на файлове и данни и разгръщане на допълнителен зловреден софтуер.
Изследователят по сигурността на Microsoft Игал Лицки забеляза атаките, доставяни чрез отвлечени имейл потоци миналото лято, но не можа да извлече крайния полезен товар.
През септември екипът от изследователи Alien Labs на AT&T забелязал „рязък скок на фишинг имейли, насочени към конкретни лица в определени компании“ и започнал да разследва.
„Жертвите и техните компании са внимателно подбрани, за да се разшири въздействието на кампанията. Някои от идентифицираните цели управляват ключова инфраструктура в САЩ“. – заявяват от AT&T Alien Labs
Атаките започват със злонамерено електронно писмо, съдържащо прикачен файл GIF, който води до SVG файл, от който се изтеглят замаскиран JavaScript и PowerShell скриптове.
След като премине през някои проверки за защита от пясък, зареждащото устройство се свързва със сървъра за командване и управление (C2) и определя дали жертвата отговаря на условията за заразяване с AsyncRAT.
Скрипт от етап 3, който разгръща AsyncRAT (AT&T)
Твърдо кодираните C2 домейни са хоствани в BitLaunch – услуга, която позволява анонимни плащания в криптовалута е полезна опция за киберпрестъпниците.
Ако зареждащият модул установи, че работи в среда за анализ, той разгръща примамливи полезни товари, вероятно в опит да заблуди изследователите по сигурността и инструментите за откриване на заплахи.
Верига на заразяване (AT&T)
Системата за борба със сенд боксове, използвана от лоудъра, включва поредица от проверки, извършвани чрез PowerShell команди, които извличат детайли от системната информация и изчисляват резултат, който показва дали той работи във виртуална машина.
Лабораториите AT&T Alien Labs са установили, че през последните 11 месеца заплахата е използвала 300 уникални образци на зареждащото устройство, всеки от които е с незначителни промени в структурата на кода, замаскирането и имената и стойностите на променливите.
Уникални образци на лоудъри, наблюдавани във времето (AT&T)
Друго наблюдение на изследователите е използването на алгоритъм за генериране на домейни (DGA), който генерира нови домейни C2 всяка неделя.
Според констатациите на AT&T Alien Labs домейните, използвани в кампанията, следват определена структура: намират се в TLD „top“, използват осем произволни буквено-цифрови знака, регистрирани са в Nicenic.net, използват Южна Африка за код на страната и са хоствани в DigitalOcean.
Логика за генериране на домейни (AT&T)
AT&T успя да разкодира логиката зад системата за генериране на домейни и дори прогнозира домейните, които ще бъдат генерирани и присвоени на зловредния софтуер през януари 2024 г.
Изследователите не приписват атаките на конкретен противник, но отбелязват, че тези „киберпрестъпници ценят дискретността“, за което свидетелстват усилията за замазване на образците.
Екипът на Alien Labs предоставя набор от индикатори за компрометиране заедно със сигнатури за софтуера за мрежов анализ и откриване на заплахи Suricata, които компаниите могат да използват за откриване на прониквания, свързани с тази кампания AsyncRAT.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.