Cisco Talos: Nettkriminelle som Dr. Frankenstein samle malware for angrep fra ulike komponenter

Den nettkriminalitet gruppen som står bak serien av målrettede angrep i januar-april 2019 bruker ondsinnet verktøy hentet fra tilgjengelig, gratis komponenter for å stjele legitimasjon.

Researchers på Cisco Talos kalte denne malware kampanjen “Frankenstein”Fordi gruppen dyktig setter sammen ikke-relaterte komponenter og som benyttes fire forskjellige teknikker under operasjonen.

“Vi vurderer at denne aktiviteten var hyper-målrettet gitt at det var et lavt volum av disse dokumentene i ulike repositories malware”, - sier i Cisco Talos.

Under ondsinnede operasjoner, webkriminelle brukte følgende åpen kildekode-komponenter:

  • De artikkel element for å bestemme om prøven kjøres på en virtuell maskin;
  • GitHub prosjekt med MSBuild for å utføre kommandoer Power;
  • En GitHub prosjekt komponent kalt FruityC2 for å skape en stager;
  • GitHub prosjekt kalt Powershell Empire for agenter.

For å omgå deteksjon, kriminelle sjekke om programmer som Process Explorer kjører på systemet som er under angrep, og om den infiserte datamaskinen er en virtuell maskin.

Les også: Forskere fra Cisco Talos funnet sårbarhet i DBMS SQLite

Blant annet, Konsernet har tatt en rekke ekstra tiltak for å svare bare for å få-forespørsler som inneholder forhåndsdefinerte felt, slik som session cookies, et bestemt domene katalog, etc. Overførte data som er beskyttet med krypterings.

"Skuespillerne’ preferanse for open-source løsninger synes å være en del av en bredere trend der motstandere i økende grad bruk av offentlig tilgjengelige løsninger, eventuelt for å forbedre drifts sikkerhet. Disse obfuscation teknikker vil kreve nettverks forsvarere til å endre sin holdning og rutiner for å oppdage denne trusselen”, - vurdere forskere fra Cisco Talos.

Infeksjon av systemet foregår ved hjelp av to vektorer. Den første innebærer bruk av en ondsinnet Word-dokument for å laste ned en ekstern mal som utnytter sårbarheten svekket hukommelse i Microsoft Office (CVE-2017-11882) å kjøre kode.

Den andre angrepsvektor omfatter også bruken av en skadelig Word-dokumenter. Når offeret åpner dokumentet, det er nødvendig for å aktivere makroer, og deretter Visual Basic-skript begynner å gå. Dette skriptet skanner systemet for tilstedeværelsen av verktøy for å analysere malware og stopper arbeidet med malware hvis den oppdager tegn på en virtuell maskin.

Kilde: https://blog.talosintelligence.com

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

MageCart på Heroku Cloud Platform

Forskere fant flere MageCart Web Skimmers På Heroku Cloud Platform

Forskere ved Malwarebytes rapportert om å finne flere MageCart web skimmere på Heroku Cloud Platform …

Android spyware CallerSpy

CallerSpy spyware masker som en Android-chat program

Trend Micro eksperter oppdaget malware CallerSpy, som masker som en Android-chat program og, …

Legg igjen et svar