СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
22.02.2025
#Dev#ИБ#Инфра

Новая угроза: Marstech1 и её влияние на кибербезопасность

Новая угроза: Marstech1 и её влияние на кибербезопасность

Недавние исследования показывают, что группа компаний Lazarus усовершенствовала свои методы кибератак, внедрив новую вредоносную программу под названием Marstech1. Этот новый инструмент представляет собой значительный шаг вперед по сравнению с предыдущими операциями, такими как Operation 99 и Operation Phantom Circuit, и направлен на разработчиков и пользователей криптовалютных кошельков.

Структура и функциональные особенности Marstech1

Имплантат был впервые обнаружен в конце декабря 2024 года и с тех пор подвергался ограниченным целенаправленным атакам. Marstech1 поставляется через новый сервер управления (C2), который работает через порт 3000. Это отличие от предыдущих операций, использовавших порты 1224 и 1245.

Сервер C2 функционирует на платформе Node.js Express, что также меняет структуру и тактику использования инструмента. Вредоносная программа включает интегрированный JavaScript-код с обфускацией и дополнительными модификациями для улучшения маскировки и уклонения от обнаружения.

  • Передовые методы обфускации, включая кодирование по стандарту Base85.
  • Использование расшифровки методом исключения для сокрытия функциональности имплантата.
  • Повторяющийся ключ каждые восемь байт, что затрудняет анализ кода.

Цели и применение Marstech1

Основные цели имплантата Marstech связаны с разведкой и сбором системных данных, таких как:

  • Тип операционной системы.
  • Информация о пользовательском каталоге.

Имплантат ориентирован на браузеры на базе Chromium и манипулирует файлами конфигурации, непосредственно затрагивая пользователей расширения MetaMask — одного из самых популярных криптовалютных кошельков.

Передача и защита данных

После развертывания Marstech1 сканирует систему на наличие установленных криптовалютных кошельков, таких как Exodus и Atomic, для извлечения конфиденциальной информации. Извлеченные данные упаковываются с временными метками и идентификаторами и отправляются на сервер C2 с использованием динамически создаваемого HTTP POST-запроса. Этот процесс скрытно осуществляется с помощью кодировки Base64, что затрудняет обнаружение цели передачи данных.

Угрозы и вызовы кибербезопасности

Кроме того, Marstech1 применяет методы предотвращения обнаружения путем перехвата консольных методов, что усложняет ведение журнала и отладку. Вредоносное ПО также может интегрироваться в законные репозитории GitHub, что увеличивает риск его распространения через надежные программные пакеты в секторах криптовалют и web3.

Внедрение имплантата Marstech демонстрирует тревожную эволюцию атак на цепочки поставок группы Lazarus, подчеркивая их способность к оперативной скрытности и адаптивности. Этот новый подход поднимает важные вопросы о безопасности и требует повышенной бдительности, превентивных мер и надежной аналитики угроз для управления рисками, создаваемыми такими сложными вредоносными программами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: