Кибератака на Германию: DL-прокси и имплантат Sliver

Кибератака на Германию: DL-прокси и имплантат Sliver

Изображение: cyble.com

Недавний отчет о кибербезопасности раскрывает детали сложной кибератаки, нацеленной на граждан Германии. Атака, осуществленная с использованием различных методов, таких как загрузка и проксирование DLL-файлов, а также внедрение имплантата Sliver, демонстрирует современные тактики киберпреступников.

Механизм атаки

Атака начинается с вредоносного файла LNK, который, вероятно, распространяется через фишинговые электронные письма, находясь в архиве с названием Homeoffice-Vereinbarung-2025.7z. После запуска файл LNK инициирует загрузку легальных исполняемых файлов, загружая вредоносную библиотеку DLL.

Конкретный алгоритм действий можно описать следующим образом:

  • Получение: Вредоносный файл LNK встроен в архив.
  • Запуск: При открытии файла LNK происходит загрузка легальных исполняемых файлов.
  • Загрузка: Вредоносная библиотека DLL выполняет шеллкод в фоновом режиме.
  • Имплантация: Шеллкод расшифровывает и запускает имплантат Sliver.
  • Связь: Имплантат устанавливает соединение с удаленными серверами для дальнейших действий.

Состав и цели вредоносного кода

Архив Homeoffice-Vereinbarung-2025.7z содержит несколько компонентов:

  • Документ-приманка, маскирующийся под соглашение с Министерством внутренних дел, написанное на немецком языке.
  • Легальные исполняемые файлы.
  • Вредоносные DLL-файлы.
  • Зашифрованный DAT-файл.

Вредоносный DLL-файл IPHLPAPI.dll, загружаемый исполняемым файлом wksprt.exe, функционирует как прокси-сервер. Он перехватывает вызовы функций, выполняя собственный код при нормальном поведении приложения. Система создает каталог с именем InteI в локальной папке данных, в который копируются как законные, так и скрытые вредоносные файлы.

Сравнение с предыдущими кампаниями

Хотя эту кампанию сложно отнести к конкретной хакерской группе, методы, используемые в атаке, напоминают предыдущие кампании APT29. Особенностью данной атаки является использование DLL-прокси, что указывает на эволюцию тактики киберпреступников.

Заключение

Эта кибератака на граждан Германии подчеркивает изощренность хакеров в уклонении от обнаружения. Она ставит перед специалистами по кибербезопасности актуальную задачу: разработка усовершенствованных стратегий защиты, способных противостоять многоэтапным атакам. Важно осознавать, что новые тактики и методы требуют внедрения надежных мер кибербезопасности для снижения рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: