Хакерская кампания: опасные стеганографические методы и RAT

Хакерская кампания: опасные стеганографические методы и RAT

Недавно была зафиксирована хакерская кампания, связанная с распространением различных вредоносных программ-похитителей, таких как Remcos и AsyncRAT. В данной атаке используется стеганографический метод, позволяющий скрывать вредоносные коды в обычных файлах.

Цепочка заражения

Цепочка заражения начинается с фишингового электронного письма, которое содержит вредоносное вложение в формате Excel, использующее CVE-2017-0199. Процесс выглядит следующим образом:

  • Открытие файла Excel отправляет HTTP-запрос на загрузку файла hta.
  • Загружается скрипт .vbs, который записывает пакетный файл и подключается к URL-адресу вставки.
  • Запутанный скрипт .vbs загружает файл .jpg, который скрывает полезную нагрузку в кодировке base64.
  • После декодирования вызывается функция, называемая VAI.

Методы маскировки и функциональность

Как Remcos, так и AsyncRAT доставляются с помощью схожих процедур, однако AsyncRAT маскирует свой скрипт .vbs под обычный скрипт управления принтером, чтобы не вызывать подозрений. Загруженный файл .jpg содержит скрытое вредоносное ПО, идентифицируемое маркерами для кодировки base64.

При извлечении обнаруживается, что библиотеки DLL запутаны, но отображают некоторые общие имена. Все они выполняют аналогичные вредоносные действия, которые реализуются с помощью метода VAI. Этот метод принимает множество аргументов, позволяя использовать функциональность удаления процессов и установления постоянства на зараженных системах.

Способы выполнения полезной нагрузки

Загрузчик может загружать вредоносное ПО, передавая URL-адрес в качестве обратной строки аргумента для извлечения конечной полезной нагрузки, включая как Remcos, так и AsyncRAT.

Выполнение полезной нагрузки включает в себя сложные операции, такие как манипулирование процессом с использованием API, таких как:

  • CreateProcess
  • NtUnmapViewOfSection
  • VirtualAllocEx

Эти методы позволяют коду DLL внедряться в легитимный процесс после его создания в приостановленном состоянии.

Продолжение активности Remcos и AsyncRAT

Remcos, известная с 2016 года, продолжает оставаться актуальной благодаря эффективным конфигурациям управления, которые сохраняются в зашифрованном блоке при инициализации. Она взаимодействует с инфраструктурой C2 для получения дополнительных инструкций и развертывания дополнительного вредоносного ПО, если это необходимо, включая AgentTesla.

AsyncRAT, в свою очередь, функционирует как троян для удаленного доступа, предоставляя такие возможности, как регистрация нажатий клавиш и выполнение новых полезных задач, основанных на заранее определенных конфигурациях.

Эти атаки подчеркивают важность повышения уровня кибербезопасности и осведомленности пользователей о возможных угрозах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: