СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
15 марта
#ИБ

Загрязненные ZIP-архивы: новая угроза в кибербезопасности

Загрязненные ZIP-архивы: новая угроза в кибербезопасности

Недавние расследования в области кибербезопасности выявили новую зловредную программу, скрытую в архивированных ZIP-файлах. Этот вредоносный код распространяется вместе с пакетом Java Runtime Environment (JRE) и необходимыми библиотеками, что делает его особенно опасным и универсальным для различных сред выполнения.

Структура и особенности вредоносного ПО

Архив ZIP содержит исполняемый файл (EXE), который запускает Javaw.exe с определенными аргументами, а также файлы JPHP, обладающие вредоносными свойствами. Эти файлы включают:

  • Файлы с расширением .phb, которые преобразуют PHP-код в байт-код;
  • Уникальную структурную сигнатуру, отличную от стандартных файлов Java .class, что затрудняет их обнаружение;
  • Возможность переименования .phb в .class для декомпиляции и анализа.

Функциональность и возможности загрузчика

Текущие проверки показывают, что это вредоносное ПО функционирует в основном как загрузчик, который может извлекать дополнительные вредоносные файлы при запуске. В ходе анализа конкретные случаи извлечения не были зафиксированы, однако предполагается, что дополнительное вредоносное ПО может включать варианты известных угроз, таких как Strrat и Danabot, связанные с кражей данных.

Использование Telegram как механизма управления

Дальнейшее расследование показало, что злоумышленники используют Telegram для связи в режиме командования и контроля (C2). Ключевые аспекты данного подхода включают:

  • Использование сервиса сокращения URL Telegram в формате «T.ME» для управления дополнительными конечными точками C2;
  • Загрузку IP-адресов C2 в профиль канала Telegram, что предоставляет гибкость для изменения инфраструктуры C2 без необходимости доступа к скомпрометированным системам.

Заключение

Вредоносное ПО, о котором идет речь, демонстрирует сложную и легко адаптируемую среду угроз, что подтверждается методами его распространения и функциональными возможностями. В условиях, когда злоумышленники продолжают совершенствовать свои методы, важно быть внимательными к потенциальным угрозам и своевременно обновлять защитные меры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: