시스코 탈로스: 박사와 같은 사이버 범죄자. 프랑켄슈타인은 서로 다른 구성 요소에서 공격 악성 코드를 수집

월 4 월 표적 공격의 일련의 뒤에 약자 사이버 범죄 그룹 2019 접근에서 수집 한 악성 도구를 사용하여, 무료 구성 요소는 자격 증명을 훔치는.

아르 자형에서 esearchers 시스코 탈로스 이 악성 코드 캠페인 "라는프랑켄슈타인"그룹 능숙 동작 중에 관계가없는 구성 요소와 사용 된 네 가지 방법을 함께 넣는다 때문에.

"우리는이 활동이 하이퍼 대상으로 다양한 악성 코드 저장소에서이 문서의 낮은 볼륨이 있었다는 것을 주어진 것을 평가", - 시스코 탈로스의 말.

악의적 인 작업을 수행하는 동안, 사이버 범죄자들은 ​​다음과 같은 오픈 소스 구성 요소를 사용:

  • 그만큼 샘플은 가상 컴퓨터에서 실행중인 경우 요소 결정;
  • 사용 GitHub의 프로젝트 MSBUILD PowerShell에서 명령을 실행합니다;
  • 라는 GitHub의 프로젝트 구성 요소 FruityC2 스테이 저를 만들기위한;
  • GitHub의 프로젝트라는 PowerShell을 제국 에이전트.

탐지를 우회하기, 사이버 범죄자들은 ​​같은 프로그램 여부를 확인 프로세스 탐색기 공격을 받고 시스템에서 실행중인, 감염된 컴퓨터는 가상 머신인지.

또한 읽기: 시스코 탈로스 연구원은 DBMS의 SQLite는에 취약점 발견

다른 것들 사이, 그룹은 미리 정의 된 필드 만 포함하는 GET-요청에 응답하기 위해 추가 단계의 번호를 촬영하고있다, 같은 세션 쿠키로, 특정 도메인 디렉토리, 기타. 암호로 보호 전송 된 데이터.

"배우’ 오픈 소스 솔루션에 대한 선호 경향 넓은 부분되는 적 점점 공개 된 솔루션을 사용하는 것으로 보인다, 아마도 운영 보안을 개선하기 위해. 이 난독 화 기술은 이러한 위협 "을 감지하는 그들의 자세와 절차를 수정하는 네트워크 수비수가 필요합니다, - 시스코 탈로스의 연구원을 고려.

시스템의 감염은 두 벡터에 의해 발생. 첫 번째는 마이크로 소프트 오피스의 메모리 손상 취약점을 악용하는 원격 템플릿을 다운로드하는 악성 Word 문서의 사용을 포함한다 (CVE-2017-11882) 코드를 실행합니다.

두 번째 공격 벡터는 악성 Word 문서의 사용을 포함한다. 피해자는 문서를 열 때, 매크로를 활성화하는 데 필요합니다, 다음 비주얼 베이직 스크립트 실행 시작. 이 스크립트는 악성 코드를 분석하기위한 도구의 존재에 대한 시스템을 검사하고 가상 머신의 징후를 감지하면 악성 코드의 작업을 중지.

출처: https://blog.talosintelligence.com

트로이 킬러 소개

메모리 스틱에 트로이 킬러 휴대용 운반. 당신은 당신이 어디를 가든 당신의 PC가 어떤 사이버 위협에 저항 도울 수 있는지 확인하십시오.

또한 확인

Heroku가 클라우드 플랫폼에 MageCart

연구진은 여러 MageCart 웹 스키머에 Heroku가 클라우드 플랫폼 발견

Malwarebytes 연구원은 Heroku가 클라우드 플랫폼에서 여러 MageCart 웹 스키머를 찾는 것에 대해보고 …

안드로이드 스파이웨어 CallerSpy

안드로이드 채팅 응용 프로그램으로 CallerSpy 스파이웨어 마스크

트렌드 마이크로의 전문가들은 악성 코드 CallerSpy 발견, 안드로이드 채팅 응용 프로그램으로하는 마스크와, …

회신을 남겨주