Анализ More_Eggs: изощренный JavaScript-бэкдор группы Venom Spider
Обнаружена новая сложная вредоносная программа More_Eggs, нацеленная на отделы кадров
В последнее время специалисты в области кибербезопасности зафиксировали активность сложной вредоносной программы More_Eggs, используемой финансово мотивированной группой Venom Spider. Этот JavaScript-бэкдор распространяется как вредоносное ПО как услуга (MaaS) и нацелен преимущественно на отделы кадров, используя социальную инженерию в виде писем с заявлениями о приёме на работу для доставки полезной нагрузки.
Механизм заражения и особенности эксплуатации
Анализ одного из образцов More_Eggs под названием Sebastian Hall.zip выявил следующий ключевой механизм заражения:
- Архив содержит изображение-приманку
b.jpgи вредоносный файл быстрого доступа Windows (Sebastian Hall.lnk). - Файл LNK указывает на запуск
cmd.exeс сильно запутанным пакетным скриптом в аргументах, что значительно осложняет его анализ. - Скрипт использует фрагментацию переменных, избыточный код и синтаксические манипуляции для сокрытия простых команд, таких как
echoиxcopy. - Инициируется запуск Microsoft Word для отвлечения внимания пользователя, а также копируется системный файл
ieuinit.exeв каталог%temp%.
Использование легитимного исполняемого файла ieuinit.exe, запущенного с параметром, позволяет снизить риск обнаружения. Этот файл, вероятно, запускает вредоносные операции, включая загрузку JavaScript-файлов или выполнение полезной нагрузки в формате библиотеки DLL.
Поддельные конфигурационные файлы и методы скрытности
В комплекте с More_Eggs поставляется файл ieuinit.inf, имитирующий допустимый файл конфигурации Windows INF. Однако в нем вместо стандартных разделов содержатся вредоносные данные и URL-адреса для дальнейших команд и управления.
Передача данных через ieuinit.exe происходит скрытно, с использованием команд и флагов, которые не уведомляют пользователя, обеспечивая тем самым конфиденциальность операций.
Обфускация и защита от обнаружения
JavaScript-файлы, используемые More_Eggs, проходят серьёзную обфускацию, включая серверный полиморфизм для создания уникальных полезных нагрузок для каждой жертвы. Вредоносное ПО обладает рядом продвинутых функций защиты от отладки и охоты, делая его анализ и обнаружение особенно сложными.
Рекомендации по обнаружению и противодействию
Эксперты в области кибербезопасности рекомендуют внимательно отслеживать следующие признаки потенциального заражения More_Eggs:
- Необычные запуски Microsoft Word или WordPad, связанные с файлам LNK из вложений ZIP.
- Подозрительные процессы с запуском
cmd.exe, особенно если они сопровождаются сложными скриптами. - Выполнение
ieuinit.exeиз каталога%temp%, а не из стандартной системной папкиsystem32. - Наличие LNK-файлов в ZIP-вложения, которые часто являются переносчиками More_Eggs.
Следует помнить, что бэкдор More_Eggs крадет системную информацию и устанавливает связь с серверами C2, демонстрируя модульную архитектуру, предназначенную для более глубокого и устойчивого заражения системы.
Вывод
More_Eggs представляет собой пример высокотехнологичной угрозы, использующей расширенные методы скрытности и социальную инженерию для атак на корпоративные подразделения кадровых служб. Комплексность и многоступенчатость его работы требуют от систем мониторинга и аналитиков усиленного внимания к нетипичному поведению процессов и файлов, что позволяет своевременно выявлять и блокировать такую угрозу.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
