СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.02.2025
#Dev#ИБ#Инфра#Облака

Атака EarthKapre: Угроза кибершпионажа через легитимные приложения

Атака EarthKapre: Угроза кибершпионажа через легитимные приложения

Источник: www.esentire.com

В январе 2025 года кибершпионская группа EarthKapre, также известная как RedCurl, успешно применила сложные методы для компрометации целевой организации, используя законный исполняемый файл Adobe. Данная атака подчеркивает новые угрозы в области кибербезопасности и необходимость повышения защиты для организаций.

Начало атаки: социальная инженерия

Атака стартовала с применения социальной инженерии через рассылку спама по электронной почте, где содержался PDF-документ. Он побуждал жертву загрузить ZIP-архив, который в итоге приводил к созданию монтируемого ISO-файла.

Как работала вредоносная программа

Созданный ISO-файл содержал файл с именем «CV Appliant *.scr», который оказался подписанным исполняемым файлом Adobe. После его выполнения активировался загрузчик EarthKapre (netutils.dll). Эта вредоносная программа использовала следующие инструменты для разведки:

  • SysInternals Active Directory Explorer (AD Explorer)
  • 7-Zip для защиты паролем и архивирования данных

Этапы атаки

Утечка украденных данных происходила через запрос PowerShell PUT к поставщику облачных хранилищ Tab Digital. Основной механизм атаки включал two key stages:

  • Простой загрузчик, который минимально обнаруживается на VirusTotal.
  • Загрузка и выполнение дальнейших полезных нагрузок с использованием механизма расшифровки строк через API в bcrypt.dll.

Подключение к C2

Вредоносная программа устанавливает соединение с сервером управления (C2), отправляя HTTP-запросы для получения следующей стадии полезной нагрузки. Основные характеристики данного процесса следующие:

  • Передаются зашифрованные библиотеки DLL.
  • Используется InternetReadFile API для чтения ответов.
  • Для успешного обнаружения подключения к интернету требуется доступ к известным доменам, таким как www.msn.com или bing.com.

Сбор информации и архивирование

После подтверждения подключения к интернету, вредоносная программа собирает системную информацию, включая имя пользователя жертвы и названия компьютеров. На заключительном этапе загрузчик развертывает пакетный файл для автоматического сбора и архивирования информации в каталоге APPDATA жертвы.

Выводы и рекомендации

Инфраструктура Cloudflare, которую использует EarthKapre, создает ограничения на количество ежедневных запросов, что может повлиять на функциональность вредоносного ПО. Расследование подтвердило использование множества доменов для серверов C2 и точек фильтрации.

Методы, применяемые хакерами, показывают необходимость внедрения надежных мер кибербезопасности для защиты организаций частного сектора от искушенных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: