СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.04.2025
#Dev#ИБ#Инфра

Многоступенчатая угроза: исследование загрузчика DAMASCENED PEACOCK

Многоступенчатая угроза: исследование загрузчика DAMASCENED PEACOCK

Недавние исследования в области киберугроз выявили новый легкий загрузчик под названием DAMASCENED PEACOCK, который нацелен на 32-разрядные системы Windows. Этот вредоносный программный продукт используется как часть многоэтапной цепочки заражения и был обнаружен в ходе фишинговых кампаний, нацеленных на Министерство обороны Великобритании в конце 2024 года.

Методы распространения и заражения

DAMASCENED PEACOCK рассылался по электронной почте, имитируя журналистские или финансовые запросы, стремясь повысить срочность обращения. Механизм рассылки включает в себя:

  • Многоэтапные переадресации;
  • Временные ограничения для уклонения от обнаружения;
  • Загрузку исполняемого файла первого этапа, скрываемого под видом PDF.

Процесс заражения инициируется с получения фишингового электронного письма, содержащего ссылку для скачивания исполняемого файла первого этапа, который написан на Rust и отображает поддельный PDF-файл.

Функционирование и скрытность

После выполнения, данный файл загружает и запускает DAMASCENED PEACOCK из определенного домена. Вредоносная программа действует как библиотека динамических ссылок (DLL) и использует технику обфускации для избегания статического анализа:

  • Обфускация строк на основе XOR;
  • Динамическое разрешение Win32 API;
  • Изменение раздела реестра для замены подлинной библиотеки на вредоносный аналог.

Если DAMASCENED PEACOCK не может получить доступ к разделу реестра, он перестает функционировать, что подчеркивает его нацеленность на условия выполнения и скрытность. Вредоносная программа также анализирует блоки среды процесса для поиска необходимых функций, что затрудняет их обнаружение.

Методы командно-контрольной связи

DAMASCENED PEACOCK использует WinHTTP API для связи с командным и контрольным сервером по протоколу HTTP через порт 8080. Эта программа раскрывает свою конфигурацию для взаимодействия с определенными доменами и реализует структурированный метод запроса второй полезной нагрузки.

Связь с другими вредоносными программами

Этот загрузчик считается вариантом вредоносного ПО семейства RomCom и имеет сходство с ранее зарегистрированными штаммами, такими как RustyClaw и SnipBot. Однако, он отличается модульным подходом к работе на нескольких этапах.

В целом, анализ DAMASCENED PEACOCK подчеркивает растущую сложность и адаптивность хакеров в создании эффективных систем доставки вредоносного ПО, использующих как ошибки пользователей, так и технические уязвимости.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: