СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.01.2025
#Dev#ИБ#ИИ#Инфра#Облака

Сложные атаки через PowerShell: анализ цепочки вредоносных действий

Сложные атаки через PowerShell: анализ цепочки вредоносных действий

Недавний анализ файла LNK выявил многоуровневую атаку, использующую загрузчик на базе PowerShell. Злоумышленники применяют сложные методы для выполнения вредоносных действий, что подчеркивает растущую угрозу в области кибербезопасности.

Технические детали атаки

Атака начинается с извлечения вредоносного скрипта PowerShell из источника army-mil.b-cdn.net через сеть доставки контента Bunny.

Скрипт выполняет следующие действия:

  • Захват библиотеки DLL через файл sppc.dll.
  • Загрузка этой библиотеки процессом phoneactivate.exe, который расшифровывает загрузчик шелл-кода и библиотеку DLL следующего этапа из onelog.dll.
  • Использование хэширования с алгоритмом djb2 для преобразования шелл-кода загрузчика.

Конечная полезная нагрузка, известная как demon.x64.dll, обычно происходит в контексте платформы Havoc.

Связь с кампаниями

В ходе расследования были найдены ссылки на сообщения пользователей Twitter, таких как @JAMESWT_MHT, @malwrhunterteam и @marsomx_, касающиеся похожих демонов, связанных с кампанией, вероятно нацеленной на Бангладеш, использующей C2 на Alibaba.

Также @StrikeReadyLabs предоставила информацию о деятельности, направленной на Бангладеш, Пакистан и Китай. Один из файлов LNK содержал сценарий PowerShell, вероятно, сгенерированный с помощью LLM.

Необычные методы загрузки

В этой операции хакер сохранил троянскую библиотеку DLL и зашифрованную полезную информацию в папке OneDrive, что дало возможность загрузить ее с помощью OneDrive.exe.

Файл sspicli.dll стал известным как дешифратор/загрузчик RC4, связанный с демоном Havoc, использующим Cloudflare Workers для C2 коммуникаций.

Заключение и рекомендации

Данная кампания демонстрирует многоэтапную цепочку атак с использованием сложных методов, таких как перехват библиотек DLL и загрузка шеллкода. Использование законных процессов и облачных сервисов хранения данных подчеркивает стремление злоумышленников избежать обнаружения.

Согласованное соглашение об именовании полезной нагрузки указывает на связь с хакерским фреймворком Havoc. Исследования в области кибербезопасности должны продолжаться, чтобы отслеживать эволюцию тактики хакеров и разрабатывать эффективные стратегии для защиты организаций и частных лиц от подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: