Търсене
Close this search box.

Кампанията за доставяне на зловредния софтуер AsyncRAT на избрани цели е активна поне от 11 месеца, като са използвани стотици уникални образци на зареждащи устройства и над 100 домейна.

AsyncRAT е инструмент с отворен код за отдалечен достъп (RAT) за Windows, публично достъпен от 2019 г., с функции за отдалечено изпълнение на команди, записване на клавиши, ексфилтрация на данни и пускане на допълнителни полезни товари.

През годините инструментът е бил широко използван от киберпрестъпниците, в оригиналния си вид или в модифицирана форма, за установяване на опорна точка в целта, кражба на файлове и данни и разгръщане на допълнителен зловреден софтуер.

Изследователят по сигурността на Microsoft Игал Лицки забеляза атаките, доставяни чрез отвлечени имейл потоци миналото лято, но не можа да извлече крайния полезен товар.

През септември екипът от изследователи Alien Labs на AT&T забелязал „рязък скок на фишинг имейли, насочени към конкретни лица в определени компании“ и започнал да разследва.

„Жертвите и техните компании са внимателно подбрани, за да се разшири въздействието на кампанията. Някои от идентифицираните цели управляват ключова инфраструктура в САЩ“. – заявяват от AT&T Alien Labs
Атаките започват със злонамерено електронно писмо, съдържащо прикачен файл GIF, който води до SVG файл, от който се изтеглят замаскиран JavaScript и PowerShell скриптове.

След като премине през някои проверки за защита от пясък, зареждащото устройство се свързва със сървъра за командване и управление (C2) и определя дали жертвата отговаря на условията за заразяване с AsyncRAT.

Stage 3 script that deploys AsyncRAT
Скрипт от етап 3, който разгръща AsyncRAT (AT&T)

Твърдо кодираните C2 домейни са хоствани в BitLaunch – услуга, която позволява анонимни плащания в криптовалута е полезна опция за киберпрестъпниците.

Ако зареждащият модул установи, че работи в среда за анализ, той разгръща примамливи полезни товари, вероятно в опит да заблуди изследователите по сигурността и инструментите за откриване на заплахи.

Infection chain
Верига на заразяване (AT&T)

Системата за борба със сенд боксове, използвана от лоудъра, включва поредица от проверки, извършвани чрез PowerShell команди, които извличат детайли от системната информация и изчисляват резултат, който показва дали той работи във виртуална машина.

Лабораториите AT&T Alien Labs са установили, че през последните 11 месеца  заплахата е използвала 300 уникални образци на зареждащото устройство, всеки от които е с незначителни промени в структурата на кода, замаскирането и имената и стойностите на променливите.

Unique loader samples seen over time

Уникални образци на лоудъри, наблюдавани във времето (AT&T)

 

Друго наблюдение на изследователите е използването на алгоритъм за генериране на домейни (DGA), който генерира нови домейни C2 всяка неделя.

Според констатациите на AT&T Alien Labs домейните, използвани в кампанията, следват определена структура: намират се в TLD „top“, използват осем произволни буквено-цифрови знака, регистрирани са в Nicenic.net, използват Южна Африка за код на страната и са хоствани в DigitalOcean.

DGA domain generation logic
Логика за генериране на домейни (AT&T)

AT&T успя да разкодира логиката зад системата за генериране на домейни и дори прогнозира домейните, които ще бъдат генерирани и присвоени на зловредния софтуер през януари 2024 г.

Изследователите не приписват атаките на конкретен противник, но отбелязват, че тези „киберпрестъпници ценят дискретността“, за което свидетелстват усилията за замазване на образците.

Екипът на Alien Labs предоставя набор от индикатори за компрометиране заедно със сигнатури за софтуера за мрежов анализ и откриване на заплахи Suricata, които компаниите могат да използват за откриване на прониквания, свързани с тази кампания AsyncRAT.

 

 

Източник: e-security.bg

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
Бъдете социални
Още по темата
26/11/2024

Коя стратегия за ъпдейтване...

Тъй като атаките стават все по-непредсказуеми...
26/11/2024

Марката BlackBasta Ransomwa...

Рускоезичната сцена с рансъмуер не е...
20/11/2024

Как да създадем сигурна пол...

Според последните насоки на NIST не...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!