СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.02.2025
#Dev#ИБ#Инфра

Новые угрозы кибербезопасности: ASyncRAT и его влияние

Новые угрозы кибербезопасности: ASyncRAT и его влияние

Недавний анализ кибербезопасности выявил новый метод атаки, использующий скрипт под названием «Sat.bat», который инициирует загрузку вредоносного программного обеспечения. Данный сценарий, использующий возможности PowerShell, позволяет злоумышленникам внедрять опасные файлы в системы жертв и управлять ими удаленно.

Технические детали атаки

Атака начинается с того, что жертва запускает скрипт «Sat.bat», который загружает содержимое с URL-адреса hXXp://109.199.101.109:770/xx.jpg. Далее, процесс включает:

  • Извлечение файлов с помощью командлета Expand-Archive
  • Создание исполняемого файла «AutoHotkey64.exe», который запускается три раза
  • Автоматический запуск скрипта «AutoHotkey64.ahk» для ввода данных из «A.txt» в пять различных процессов
  • Создание запланированной задачи, выполняемой каждые две минуты

Особенности вредоносного ПО

Анализ исполняемого файла с использованием PEStudio показал, что это 32-разрядный файл, демонстрирующий поведение, характерное для RAT (троян удаленного доступа) или клавиатурных шпионов. Важные моменты:

  • Наличие ссылок на расположение браузера
  • Упоминания, связанные с криптовалютами
  • Строка, указывающая на ASyncRAT, известный RAT с кодом, доступным на GitHub

Методы обнаружения и предотвращения

Хотя антивирусные решения и EDR (средства обнаружения и реагирования на конечные точки) могут выявлять такие вредоносные действия, эксперты рекомендуют следующие меры:

  • Мониторинг создания «AutoHotKey64.exe», поскольку его использование в корпоративных системах неоправданно
  • Внедрение контроля приложений, таких как ThreatLocker
  • Анализ исходящего трафика на неожиданных портах
  • Мониторинг DNS-запросов, направленных на необычные домены
  • Поиск известного формата мьютекса «AsyncMutex_*»
  • Отслеживание поведения сети, связанного с типичными коммуникационными портами ASyncRAT

Заключение

Эти меры помогут в обнаружении и предотвращении потенциальных заражений или текущих нарушений в корпоративных системах. Повышение уровня безопасности требует внимательного анализа и мониторинга действий, связанных с подозрительной активностью, чтобы предотвратить возможные атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: