Многоэтапные атаки: прорывные методы киберугроз
Источник: www.cyfirma.com
Исследовательский отчет компании CYFIRMA позволяет глубже понять современную киберугрозу, которая представляет собой сложную многоэтапную вредоносную атаку. В этой атаке используются передовые методы, такие как обфускация, стеганография и скрытая коммуникация для уклонения и компрометации.
Сложные механизмы атаки
Атака начинается с запутанного файла JavaScript, который извлекает закодированные строки из надежного сервиса с открытым исходным кодом, в конечном итоге выполняя сценарий PowerShell. Этот скрипт:
- Облегчает загрузку изображения в формате JPG;
- Загружает текстовый файл с определенного IP-адреса;
- Использует средства сокращения URL для внедрения вредоносных исполняемых файлов с использованием стеганографических методов.
Вредоносная программа-похититель
После запуска эти приложения активируют вредоносную программу-похититель, предназначенную для сбора конфиденциальных пользовательских данных, включая:
- Учетные данные;
- Информацию о браузере.
Вредоносная программа передает украденную информацию Telegram-боту, управляемому злоумышленником, что создает надежный метод утечки данных, который сложно обнаружить с помощью традиционных мер безопасности.
Тактика уклонения и укрытия
Использование многоуровневой тактики обфускации затрудняет статический и динамический анализ. Ключевые методы уклонения включают:
- Легальные веб-сервисы, которые помогают вредоносному ПО сливаться с обычным интернет-трафиком;
- Стеганографию, позволяющую скрыть .NET-сборку в кодировке Base64 внутри изображения;
- Отражающую загрузку, позволяющую выполнять полезную нагрузку .NET непосредственно из памяти.
Зависимость от устаревших технологий
Кампания также использует устаревшие технологии, такие как ActiveX и оболочка Windows Script Host (WSH), что значительно упрощает взаимодействие с системой. Архитектура вредоносного ПО включает в себя:
- Использование PowerShell для интеграции сложных задач;
- Сетевое взаимодействие и выполнение кода в памяти.
Последствия атаки
Основной риск заключается в потенциальном развертывании различных угроз после первоначального взлома, таких как программы-вымогатели или дополнительные бэкдоры. Заключительные этапы атаки вызывают особое беспокойство, так как они предполагают использование зашифрованных платформ обмена сообщениями для удаленного выполнения команд и утечки данных.
Стратегия распространения
Отчет подчеркивает стратегическое использование домена jilas.net как отправной точки для полезной нагрузки JavaScript, демонстрируя методический подход к распространению вредоносных программ.
Рекомендации по кибербезопасности
Для защиты от такого сложного ландшафта угроз организациям рекомендуется:
- Усилить меры кибербезопасности через расширенный поведенческий анализ;
- Внедрить возможности обнаружения конечных точек;
- Разработать строгие протоколы сетевого мониторинга;
- Обучать пользователей рискам, связанным с выполнением сценариев и защитой данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
