Возрождение Darkwatchman RAT: новые угрозы для кибербезопасности

Возрождение Darkwatchman RAT: новые угрозы для кибербезопасности

Источник: rt-solar.ru

Недавнее возрождение Darkwatchman RAT указывает на изменение методов, используемых при фишинговых атаках на организации в России. Этот вариант троянской программы, работающий на JavaScript, известен своей способностью проникать в системы незамеченным, одновременно облегчая кейлоггинг для получения учетных данных, банковской информации и других конфиденциальных данных.

Методы фишинговых атак

Фишинговая кампания, вызвавшая эту волну, заключалась в том, что злоумышленники маскировали вредоносные электронные письма под официальные уведомления от государственных учреждений, побуждая жертв открывать вложения.

Технические аспекты Darkwatchman RAT

Вложения содержат загрузчик, предназначенный для установки Darkwatchman RAT. Этот загрузчик, называемый СОБСТВЕННЫМ загрузчиком, использует исполняемый файл, маскирующийся под документ PDF. При запуске файл расшифровывается и загружается в память, что позволяет избежать обнаружения с помощью обычных мер безопасности.

Порядок действий вредоносного ПО:

  • Запуск исполняемого файла, маскирующегося под документ PDF.
  • Загрузка и расшифровка содержимого в оперативной памяти.
  • Развертывание .NET DROPPER, который извлекает дополнительные компоненты.
  • Использование команд PowerShell и отражающей загрузки библиотек DLL.

Эти методы позволяют Darkwatchman эффективно обходить традиционные протоколы безопасности конечных точек. Отражающая загрузка библиотек DLL позволяет загружать динамические библиотеки непосредственно в память, что усложняет обнаружение для антивирусных решений.

Эволюция Darkwatchman

В последних версиях Darkwatchman появились усовершенствования, повышающие устойчивость к обнаружению и совершенствующие методы работы:

  • Использование закодированных доменов для связи с серверами управления (C2).
  • Внедрение зашифрованного Dynwrapx.dll в недавно проведенных кампаниях вместо незашифрованных библиотек.

Эта эволюция свидетельствует об изощренности подхода хакеров, демонстрируя их способность создавать вредоносное ПО так, чтобы оно ускользало от современных средств защиты. Долгосрочное присутствие Darkwatchman RAT, о чем свидетельствует его постоянное использование в комплексных фишинговых кампаниях с момента его появления, подчеркивает необходимость усиления защиты организаций от таких скрытых угроз.

Заключение

Аналитики отмечают, что постоянное совершенствование механизмов предоставления и исполнения подчеркивает важность бдительности в практике обеспечения кибербезопасности для снижения рисков, связанных с такими APT.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: