Cisco Talos: Cyber-Kriminelle wie Dr. Frankenstein sammeln Malware für Angriffe aus verschiedenen Komponenten

Die Internet-Kriminalität Gruppe, die hinter Reihe von gezielten Angriffen im Januar-April steht 2019 verwendet bösartige Werkzeuge aus zugänglich gesammelt, Freie Komponenten Anmeldeinformationen zu stehlen.

Rorscher bei Cisco Talos diese Malware-Kampagne „genanntFrankenstein“Weil die Gruppe setzt geschickt unabhängigen Komponenten zusammen und verwendet vier verschiedene Techniken während der Operation.

„Wir bewerten, dass diese Aktivität war hyper gezielte gegeben, dass es ein geringeres Volumen dieser Dokumente in verschiedener Malware-Repositories war“, - sagen wir in Cisco Talos.

Während bösartige Operationen, Kriminellen verwendet, um die folgenden Open Source-Komponenten:

  • Das Artikel Element, um zu bestimmen, ob die Probe auf einer virtuellen Maschine ausgeführt wird;
  • GitHub Projekt mit MSbuild Power Befehle auszuführen;
  • Eine GitHub Projektkomponente genannt FruityC2 zum Erstellen eines stager;
  • GitHub Projekt mit dem Namen Powershell-Reich für Agenten.

So umgehen Erkennung, Cyber-Kriminelle überprüfen, ob Programme wie Process Explorer auf dem System ausgeführt werden, die unter Beschuss, und ob der infizierte Computer ist eine virtuelle Maschine.

lesen Sie auch: Forscher von Cisco Talos gefunden Verwundbarkeit in DBMS SQLite

Unter anderem, hat die Gruppe eine Reihe von zusätzlichen Schritte ergriffen, um nur zu reagieren GET-Anfragen, die vordefinierten Felder enthalten, wie Session-Cookies, ein bestimmtes Domain-Verzeichnis, usw. Übertragene Daten mit Verschlüsselung geschützt.

"Die Akteure’ Präferenz für Open-Source-Lösungen erscheint zunehmend in denen Gegner Teil eines breiteren Trends zu sein sind öffentlich zugängliche Lösungen mit, möglicherweise zur Verbesserung der Betriebssicherheit. Diese Verschleierungstechniken werden Netzwerke Verteidiger benötigen, um ihre Haltung und Verfahren zu modifizieren, um diese Bedrohung zu erkennen“, - betrachten die Forscher von Cisco Talos.

Infektion des Systems erfolgt durch zwei Vektoren. Die erste beinhaltet die Verwendung eines bösartigen Word-Dokument eine Remote-Vorlage herunterzuladen, die die Beeinträchtigung des Gedächtnisses Sicherheitsanfälligkeit in Microsoft Office nutzt (CVE-2.017-11.882) auszuführen Code.

Der zweite Angriffsvektor beinhaltet auch die Verwendung eines bösartigen Word-Dokument. Wenn öffnet das Opfer das Dokument, es erforderlich ist, die Makros zu aktivieren, und dann die Visual Basic Script beginnt zu laufen. Dieses Skript durchsucht System auf das Vorhandensein von Werkzeugen für die Malware-Analyse und stoppt Arbeit der Malware, wenn es Anzeichen für eine virtuelle Maschine erkennt.

Quelle: https://blog.talosintelligence.com

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort