СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 февраля
#Dev#ИБ#Инфра

AsyncRAT: Новая угроза в кибербезопасности

AsyncRAT: Новая угроза в кибербезопасности

Недавнее исследование, проведенное Forcepoint X-Labs, выявило сложную кампанию кибератак, использующую троян AsyncRAT для удаленного доступа. Этот вредоносный софт обеспечивает хакерам полный контроль над скомпрометированными системами, используя инновационные тактики, которые затрудняют их обнаружение и предотвращение.

Принципы работы вредоносной кампании

Кампания начинается с рассылки фишинговых электронных писем, которые содержат ссылки на URL-адреса Dropbox. Получатели возбуждены нажать на ссылки, чтобы загрузить ZIP-файлы, замаскированные под PDF-документы. Важно отметить, что сам ZIP-файл включает в себя ряд вредоносных компонентов, образующих сложную цепочку:

  • URL-файл
  • .lnk-файл
  • JavaScript-файл
  • .BAT-файл
  • ZIP-файл с Python-скриптом

Компонент JavaScript играет ключевую роль, организуя поиск вредоносного ПО и запуск других файлов.

Методы уклонения от обнаружения

Для повышения эффективности своих атак, AsyncRAT применяет подходы, направленные на сокрытие своей активности в системе:

  • Внедрение процессов через технологию очереди APC Early Bird.
  • Использование легитимных процессов, например, notepad.exe и explorer.exe.
  • Установление связи с серверами управления (C2) через различные порты, такие как 62.60.190.141:3232 и 62.60.190.141:4056.

Перспективы киберугроз

Эксперты по кибербезопасности предсказывают рост атак, использующих такие недорогие инфраструктуры для доставки инфокрадов и троянских программ удаленного доступа. Это создает серьезные риски для организаций.

Меры защиты от AsyncRAT

Клиенты Forcepoint могут воспользоваться надежными мерами защиты от этой угрозы. Решения Forcepoint обеспечивают:

  • Идентификацию и блокировку вредоносных вложений на этапе заманивания.
  • Предотвращение загрузки данных с заблокированных URL на этапе перенаправления.
  • Классификацию и блокировку файлов dropper.
  • Блокировку серверов C2.

Брандмауэр нового поколения Forcepoint (NGFW) также играет важную роль в блокировке ключевых аспектов AsyncRAT.

Заключение

Джиотика Сингх, исследователь из команды X-Labs, отмечает: «Важно адаптировать стратегии защиты, исходя из постоянно изменяющегося ландшафта киберугроз». Ее работа направлена на укрепление проактивной защиты и разработку новых методов борьбы с изощренными атаками.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: