СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
20 января
#Dev#ИБ

Анализ нового вредоносного ПО Cobalt Strike: угрозы и методы

Анализ нового вредоносного ПО Cobalt Strike: угрозы и методы

Недавний отчет представляет собой глубокий анализ вредоносного файла Cobalt Strike malware-test.zip (2025.1.11), предположительно созданного группировкой Кимсуки из Северной Кореи. Вирус скрывается под безобидным изображением, что делает его опасным для пользователей.

Структура и поведение вредоносного ПО

Файл test.zip содержит множество хэшей: MD5, SHA-1 и SHA-256. Исследование начинается с анализа расположения значка вредоносной программы, который имитирует WordPad, что является распространенным методом социальной инженерии.

Как работает вредоносная программа:

  • Использует команды PowerShell для выполнения задач.
  • Ищет файлы с расширением .lnk определенного размера.
  • Читает содержимое в двоичном формате.
  • Создает случайный zip-файл во временном каталоге.
  • Извлекает данные из определенного смещения файла .lnk, создавая скрытый вредоносный файл.
  • Сохраняет его как svchost.exe, имитируя обычный системный процесс Windows.

Роль Cobalt Strike в распространении угроз

В отчете подчеркивается, что Cobalt Strike является платным инструментом для тестирования на проникновение. Он используется для развертывания агента под названием Beacon на компьютерах жертв, что делает его популярным среди злоумышленников.

Обнаружение и классификация

Важным аспектом анализа является тот факт, что различные средства безопасности обнаружили вредоносное ПО на платформе VirusTotal. Среди поставщиков:

  • AhnLab
  • Avast
  • Bitdefender
  • ESET-NOD32
  • Kaspersky
  • Sophos

Каждое из них идентифицирует вредоносное ПО с помощью различных ярлыков и классификаций, таких как троянские программы или другие угрозы, связанные с LNK.

Заключение

Отчет акцентирует внимание на важности соблюдения основных правил безопасности для снижения риска заражения такими вредоносными программами. У пользователей должен быть повышенный уровень бдительности в отношении подозрительных файлов и ссылок.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: