СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.05.2025
#Dev#ИБ#Инфра

Эволюция вредоносного ПО: угроза программ-вымогателей Agenda

Эволюция вредоносного ПО: угроза программ-вымогателей Agenda

Источник: www.trendmicro.com

Группа программ-вымогателей Agenda, известная также под названием Qilin, продемонстрировала значительную эволюцию в методах своих атак. Новые технологии, такие как вредоносное ПО SmokeLoader и загрузчик NETXLOADER, привносят дополнительные риски в мир кибербезопасности.

Обзор новых угроз

В первом квартале 2025 года программа-вымогатель Agenda стала целевой для множества секторов:

  • Здравоохранение
  • Технологии
  • Финансовые услуги
  • Телекоммуникации

Атаки происходят в разных странах, включая США, Нидерланды, Бразилию, Индию и Филиппины.

Проблемы с NETXLOADER

NETXLOADER представляет собой сложный инструмент, использующий технологии .NET и защищенный .NET Reactor 6, что существенно усложняет процессы его обратного проектирования. Его стратегические методы обхода включают:

  • Использование одноразовых, динамически генерируемых доменов для размещения вредоносной полезной нагрузки.
  • Использование случайных имен и доменов верхнего уровня с низкой репутацией.
  • Маскировка имен файлов, что позволяет избегать выявления в обычном сетевом трафике.

Когда NETXLOADER компрометирует систему, он использует API для расшифровки и выполнения вредоносной информации в памяти, что позволяет избежать традиционного обнаружения на основе файлов.

Проблемы с SmokeLoader

Вредоносная программа SmokeLoader показывает устойчивую способность к уклонению. Она использует передовые методы антианализа и маневр защиты от дизассемблирования, известный как непрозрачный предикат. Этот метод может запутать дизассемблеры, что приводит к созданию ошибочного кода.

SmokeLoader также проводит проверку среды:

  • Определяет, что она работает в поддерживаемых версиях Windows.
  • Идентифицирует язык системы; в случае обнаружения русскоязычной среды выполнение прекращается.

Вредоносное ПО работает скрытно, внедряясь в процесс Windows Explorer и создавая разделы общей памяти для упрощения выполнения следующих этапов.

Взаимодействие с серверами управления

SmokeLoader взаимодействует со своими серверами управления (C&C) через зашифрованные каналы. Однако во время анализа было обнаружено, что C&C находится в автономном режиме. Это создает дополнительные трудности для специалистов по кибербезопасности в выявлении и нейтрализации подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: