Den cyberkriminalitet gruppe, der står bag serien af målrettede angreb i januar til april 2019 bruger ondsindede værktøjer indsamlet fra tilgængelige, gratis komponenter til at stjæle legitimationsoplysninger.
Researchers på Cisco Talos kaldte denne malware kampagne ”Frankenstein”Fordi gruppen sætter dygtigt sammen ubeslægtede komponenter og anvendes fire forskellige teknikker under operationen.”Vi vurderer, at denne aktivitet var hyper-målrettet givet, at der var en lav volumen af disse dokumenter i forskellige malware repositories”, - siger i Cisco Talos.
Under ondsindede operationer, cyberkriminelle anvendt følgende open source-komponenter:
- Det genstand element for at afgøre, om prøven kører på en virtuel maskine;
- GitHub projekt ved hjælp MSBuild at udføre PowerShell kommandoer;
- En GitHub projekt komponent kaldet FruityC2 for at skabe en stager;
- GitHub projekt kaldet PowerShell Empire for agenter.
At omgå detektion, cyberkriminelle kontrollere, om programmer som Process Explorer kører på det system, der er under angreb, og hvorvidt den inficerede computer er en virtuel maskine.
Læs også: Forskere fra Cisco Talos fundet sårbarhed i DBMS SQLite
Blandt andet, gruppen har taget en række yderligere skridt for at reagere kun at get-anmodninger, der indeholder foruddefinerede felter, såsom session cookies, et bestemt domæne mappe, etc. Transmitterede data beskyttet med kryptering.
"Skuespillerne’ præference for open source-løsninger synes at være en del af en bredere tendens, hvor modstandere i stigende grad brug af offentligt tilgængelige løsninger, eventuelt at forbedre den operationelle sikkerhed. Disse formørkelse teknikker vil kræve netværk forsvarere til at ændre deres kropsholdning og procedurer til at opdage denne trussel”, - overveje forskere fra Cisco Talos.
Infektion af systemet sker ved to vektorer. Den første omfatter brug af en ondsindet Word-dokument til at hente en ekstern skabelon, der udnytter hukommelsen sårbarhed værdiforringelse i Microsoft Office (CVE-2017-11.882) at udføre kode.
Det andet angreb vektor indebærer også brugen af en ondsindet Word-dokument. Når offeret åbner dokumentet, det er nødvendigt at aktivere makroer, og derefter Visual Basic-script begynder at køre. Dette script scanner systemet for tilstedeværelsen af værktøjer til at analysere malware og stopper arbejdet i malware, hvis den opdager tegn på en virtuel maskine.
