Den nettkriminalitet gruppen som står bak serien av målrettede angrep i januar-april 2019 bruker ondsinnet verktøy hentet fra tilgjengelig, gratis komponenter for å stjele legitimasjon.
Researchers på Cisco Talos kalte denne malware kampanjen “Frankenstein”Fordi gruppen dyktig setter sammen ikke-relaterte komponenter og som benyttes fire forskjellige teknikker under operasjonen.“Vi vurderer at denne aktiviteten var hyper-målrettet gitt at det var et lavt volum av disse dokumentene i ulike repositories malware”, - sier i Cisco Talos.
Under ondsinnede operasjoner, webkriminelle brukte følgende åpen kildekode-komponenter:
- De artikkel element for å bestemme om prøven kjøres på en virtuell maskin;
- GitHub prosjekt med MSBuild for å utføre kommandoer Power;
- En GitHub prosjekt komponent kalt FruityC2 for å skape en stager;
- GitHub prosjekt kalt Powershell Empire for agenter.
For å omgå deteksjon, kriminelle sjekke om programmer som Process Explorer kjører på systemet som er under angrep, og om den infiserte datamaskinen er en virtuell maskin.
Les også: Forskere fra Cisco Talos funnet sårbarhet i DBMS SQLite
Blant annet, Konsernet har tatt en rekke ekstra tiltak for å svare bare for å få-forespørsler som inneholder forhåndsdefinerte felt, slik som session cookies, et bestemt domene katalog, etc. Overførte data som er beskyttet med krypterings.
"Skuespillerne’ preferanse for open-source løsninger synes å være en del av en bredere trend der motstandere i økende grad bruk av offentlig tilgjengelige løsninger, eventuelt for å forbedre drifts sikkerhet. Disse obfuscation teknikker vil kreve nettverks forsvarere til å endre sin holdning og rutiner for å oppdage denne trusselen”, - vurdere forskere fra Cisco Talos.
Infeksjon av systemet foregår ved hjelp av to vektorer. Den første innebærer bruk av en ondsinnet Word-dokument for å laste ned en ekstern mal som utnytter sårbarheten svekket hukommelse i Microsoft Office (CVE-2017-11882) å kjøre kode.
Den andre angrepsvektor omfatter også bruken av en skadelig Word-dokumenter. Når offeret åpner dokumentet, det er nødvendig for å aktivere makroer, og deretter Visual Basic-skript begynner å gå. Dette skriptet skanner systemet for tilstedeværelsen av verktøy for å analysere malware og stopper arbeidet med malware hvis den oppdager tegn på en virtuell maskin.
