Cisco Talos: Cybercriminelen zoals Dr.. Frankenstein verzamelen malware-aanvallen uit verschillende componenten

De cybercrime groep die staat achter reeks gerichte aanvallen in januari-april 2019 maakt gebruik van kwaadaardige gereedschappen verzameld van toegankelijke, gratis componenten aan te stelen.

Researchers bij Cisco Talos noemde deze malware campagne “Frankenstein”Omdat de groep stelt vakkundig elkaar ongerelateerde onderdelen en gebruikte vier verschillende technieken tijdens de operatie.

“We schatten dat deze activiteit was hyper-gerichte gezien het feit dat er een laag volume van deze documenten in verschillende malware repositories”, - laten we zeggen in Cisco Talos.

Tijdens kwaadaardige activiteiten, cybercriminelen gebruikt de volgende algemene broncomponenten:

  • De artikel element om te bepalen of het monster wordt uitgevoerd op een virtuele machine;
  • GitHub project met behulp van MSBuild PowerShell opdrachten uit te voeren;
  • Een GitHub project component heet FruityC2 voor het creëren van stager;
  • GitHub project genaamd PowerShell Empire voor agenten.

Om detectie te omzeilen, cybercriminelen controleren of programma's als Process Explorer draaien op het systeem wordt aangevallen, en of de geïnfecteerde computer een virtuele machine.

Lees ook: Onderzoekers van Cisco Talos gevonden kwetsbaarheid in DBMS SQLite

Onder andere, De groep heeft een aantal extra stappen ondernomen om alleen GET-verzoeken die vooraf gedefinieerde velden bevatten reageren, zoals session cookies, een specifiek domein directory, enz. Verzonden gegevens beveiligd met de encryptie.

"De acteurs’ voorkeur voor open source oplossingen blijkt onderdeel van een bredere trend waarbij tegenstanders in toenemende mate gebruik van publiekelijk beschikbare oplossingen, mogelijk om de operationele veiligheid te verbeteren. Deze vertroebeling technieken zullen netwerk verdedigers nodig hebben om hun houding en procedures aan te passen aan deze dreiging”op te sporen, - overwegen onderzoekers van Cisco Talos.

Infectie van het systeem vindt plaats door twee vectoren. De eerste betreft het gebruik van een kwaadaardig Word document naar een extern sjabloon dat de verslechtering van het geheugen beveiligingslek in Microsoft Office exploiteert downloaden (CVE-2017-11.882) code uitvoert.

De tweede aanval vector wordt ook gebruik gemaakt van een kwaadaardige Word-document. Wanneer het slachtoffer opent het document, is het nodig om de macro's te activeren, en vervolgens het Visual Basic-script begint te lopen. Dit script scant het systeem op de aanwezigheid van tools voor het analyseren van malware en stopt werk van de malware als het tekenen van een virtuele machine detecteert.

Bron: https://blog.talosintelligence.com

Polina Lisovskaja

Ik werk al jaren als marketingmanager en zoek graag naar interessante onderwerpen voor jou

Laat een antwoord achter

Terug naar boven knop