СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.01.2025
#Dev#ИБ#ИИ#Инфра

Продвинутые бэкдоры: угроза кибербезопасности 2024 года

Продвинутые бэкдоры: угроза кибербезопасности 2024 года

Изображение: www.secureblink.com

В четвертом квартале 2024 года мир кибербезопасности столкнулся с серьёзным инцидентом, связанным с деятельностью опытного хакера, использующего бэкдор на базе Python. Данная угроза обеспечила доступ к скомпрометированным конечным точкам, что дало возможность внедрить шифровальщики RansomHub в уязвимые сети.

Подробности инцидента

Отмеченные особенности бэкдора указывают на его эволюцию и адаптацию к современным методам защиты:

  • Использование обфускации кода с помощью PyObfuscate.com для избежания обнаружения.
  • Применение протокола удаленного рабочего стола (RDP) для горизонтального перемещения в сети.
  • Внедрение уникальных индикаторов компрометации (IoC), включая различные имена файлов, названия запланированных задач и адреса командно-контрольных пунктов (C2).

Сотрудничество с экспертами

В результате совместной работы с экспертами по кибербезопасности на GitHub были идентифицированы и опубликованы 18 IP-адресов C2, что значительно расширило возможности обмена информацией об угрозах.

Методология развертывания вредоносного ПО

Процесс внедрения вредоносного ПО осуществлялся по четко прописанной схеме:

  1. Первоначальный доступ через SocGholish (FakeUpdate).
  2. Развертывание бэкдора Python в скомпрометированной системе.
  3. Горизонтальное перемещение через инфекцию дополнительных систем с использованием RDP.

Технические детали бэкдора

Процесс установки и развертывания бэкдора Python включал несколько этапов:

  • Переход к целевому каталогу.
  • Установка Python и настройка PIP с необходимыми библиотеками.
  • Создание прокси-скрипта Python и организация постоянности выполнения через запланированные задачи.

Бэкдор функционирует как обратный прокси-сервер, создавая туннель, подобный SOCKS5. Он устанавливает TCP-соединения с жестко заданным IP-адресом, после чего использует полученные данные для создания дополнительных подключений и обеспечивает связь с хакерами.

Новые тенденции и вызовы

В отчете также подчеркивается растущее внедрение искусственного интеллекта (ИИ) в разработку вредоносных программ, что представляет собой новую тенденцию в киберугрозах. Это говорит о необходимости постоянного мониторинга и совместных усилий для эффективного противодействия развивающимся угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: