Die Internet-Kriminalität Gruppe, die hinter Reihe von gezielten Angriffen im Januar-April steht 2019 verwendet bösartige Werkzeuge aus zugänglich gesammelt, Freie Komponenten Anmeldeinformationen zu stehlen.
Rorscher bei Cisco Talos diese Malware-Kampagne „genanntFrankenstein“Weil die Gruppe setzt geschickt unabhängigen Komponenten zusammen und verwendet vier verschiedene Techniken während der Operation.„Wir bewerten, dass diese Aktivität war hyper gezielte gegeben, dass es ein geringeres Volumen dieser Dokumente in verschiedener Malware-Repositories war“, - sagen wir in Cisco Talos.
Während bösartige Operationen, Kriminellen verwendet, um die folgenden Open Source-Komponenten:
- Das Artikel Element, um zu bestimmen, ob die Probe auf einer virtuellen Maschine ausgeführt wird;
- GitHub Projekt mit MSbuild Power Befehle auszuführen;
- Eine GitHub Projektkomponente genannt FruityC2 zum Erstellen eines stager;
- GitHub Projekt mit dem Namen Powershell-Reich für Agenten.
So umgehen Erkennung, Cyber-Kriminelle überprüfen, ob Programme wie Process Explorer auf dem System ausgeführt werden, die unter Beschuss, und ob der infizierte Computer ist eine virtuelle Maschine.
lesen Sie auch: Forscher von Cisco Talos gefunden Verwundbarkeit in DBMS SQLite
Unter anderem, hat die Gruppe eine Reihe von zusätzlichen Schritte ergriffen, um nur zu reagieren GET-Anfragen, die vordefinierten Felder enthalten, wie Session-Cookies, ein bestimmtes Domain-Verzeichnis, usw. Übertragene Daten mit Verschlüsselung geschützt.
"Die Akteure’ Präferenz für Open-Source-Lösungen erscheint zunehmend in denen Gegner Teil eines breiteren Trends zu sein sind öffentlich zugängliche Lösungen mit, möglicherweise zur Verbesserung der Betriebssicherheit. Diese Verschleierungstechniken werden Netzwerke Verteidiger benötigen, um ihre Haltung und Verfahren zu modifizieren, um diese Bedrohung zu erkennen“, - betrachten die Forscher von Cisco Talos.
Infektion des Systems erfolgt durch zwei Vektoren. Die erste beinhaltet die Verwendung eines bösartigen Word-Dokument eine Remote-Vorlage herunterzuladen, die die Beeinträchtigung des Gedächtnisses Sicherheitsanfälligkeit in Microsoft Office nutzt (CVE-2.017-11.882) auszuführen Code.
Der zweite Angriffsvektor beinhaltet auch die Verwendung eines bösartigen Word-Dokument. Wenn öffnet das Opfer das Dokument, es erforderlich ist, die Makros zu aktivieren, und dann die Visual Basic Script beginnt zu laufen. Dieses Skript durchsucht System auf das Vorhandensein von Werkzeugen für die Malware-Analyse und stoppt Arbeit der Malware, wenn es Anzeichen für eine virtuelle Maschine erkennt.
