Търсене
Close this search box.

Незабележими атаки с AsyncRAT са насочени към инфраструктурата на САЩ от 11 месеца

Кампанията за доставяне на зловредния софтуер AsyncRAT на избрани цели е активна поне от 11 месеца, като са използвани стотици уникални образци на зареждащи устройства и над 100 домейна.

AsyncRAT е инструмент с отворен код за отдалечен достъп (RAT) за Windows, публично достъпен от 2019 г., с функции за отдалечено изпълнение на команди, записване на клавиши, ексфилтрация на данни и пускане на допълнителни полезни товари.

През годините инструментът е бил широко използван от киберпрестъпниците, в оригиналния си вид или в модифицирана форма, за установяване на опорна точка в целта, кражба на файлове и данни и разгръщане на допълнителен зловреден софтуер.

Изследователят по сигурността на Microsoft Игал Лицки забеляза атаките, доставяни чрез отвлечени имейл потоци миналото лято, но не можа да извлече крайния полезен товар.

През септември екипът от изследователи Alien Labs на AT&T забелязал „рязък скок на фишинг имейли, насочени към конкретни лица в определени компании“ и започнал да разследва.

„Жертвите и техните компании са внимателно подбрани, за да се разшири въздействието на кампанията. Някои от идентифицираните цели управляват ключова инфраструктура в САЩ“. – заявяват от AT&T Alien Labs
Атаките започват със злонамерено електронно писмо, съдържащо прикачен файл GIF, който води до SVG файл, от който се изтеглят замаскиран JavaScript и PowerShell скриптове.

След като премине през някои проверки за защита от пясък, зареждащото устройство се свързва със сървъра за командване и управление (C2) и определя дали жертвата отговаря на условията за заразяване с AsyncRAT.

Stage 3 script that deploys AsyncRAT
Скрипт от етап 3, който разгръща AsyncRAT (AT&T)

Твърдо кодираните C2 домейни са хоствани в BitLaunch – услуга, която позволява анонимни плащания в криптовалута е полезна опция за киберпрестъпниците.

Ако зареждащият модул установи, че работи в среда за анализ, той разгръща примамливи полезни товари, вероятно в опит да заблуди изследователите по сигурността и инструментите за откриване на заплахи.

Infection chain
Верига на заразяване (AT&T)

Системата за борба със сенд боксове, използвана от лоудъра, включва поредица от проверки, извършвани чрез PowerShell команди, които извличат детайли от системната информация и изчисляват резултат, който показва дали той работи във виртуална машина.

Лабораториите AT&T Alien Labs са установили, че през последните 11 месеца  заплахата е използвала 300 уникални образци на зареждащото устройство, всеки от които е с незначителни промени в структурата на кода, замаскирането и имената и стойностите на променливите.

Unique loader samples seen over time

Уникални образци на лоудъри, наблюдавани във времето (AT&T)

 

Друго наблюдение на изследователите е използването на алгоритъм за генериране на домейни (DGA), който генерира нови домейни C2 всяка неделя.

Според констатациите на AT&T Alien Labs домейните, използвани в кампанията, следват определена структура: намират се в TLD „top“, използват осем произволни буквено-цифрови знака, регистрирани са в Nicenic.net, използват Южна Африка за код на страната и са хоствани в DigitalOcean.

DGA domain generation logic
Логика за генериране на домейни (AT&T)

AT&T успя да разкодира логиката зад системата за генериране на домейни и дори прогнозира домейните, които ще бъдат генерирани и присвоени на зловредния софтуер през януари 2024 г.

Изследователите не приписват атаките на конкретен противник, но отбелязват, че тези „киберпрестъпници ценят дискретността“, за което свидетелстват усилията за замазване на образците.

Екипът на Alien Labs предоставя набор от индикатори за компрометиране заедно със сигнатури за софтуера за мрежов анализ и откриване на заплахи Suricata, които компаниите могат да използват за откриване на прониквания, свързани с тази кампания AsyncRAT.

 

 

Източник: e-security.bg

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
Бъдете социални
Още по темата
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
10/04/2024

Защо е толкова важно да укр...

Доставчиците на управлявани услуги (MSP) са...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!