O grupo cibercrime que está por trás da série de ataques direcionados em janeiro-abril 2019 utiliza ferramentas maliciosas recolhidos a partir acessível, componentes livres para roubar credenciais.
Resquisadores em Cisco Talos chamada essa campanha malware “Frankenstein”Porque o grupo habilmente reúne componentes independentes e utilizadas quatro técnicas diferentes durante a operação.“Avaliamos que esta atividade era hiper-alvo, uma vez que havia um baixo volume desses documentos em vários repositórios de malware”, - dizer em Cisco Talos.
Durante as operações maliciosas, cybercriminals utilizados os seguintes componentes abertos:
- o artigo elemento para determinar se a amostra está sendo executado em uma máquina virtual;
- projeto GitHub usando MSbuild para executar comandos do PowerShell;
- Um componente do projeto GitHub chamada FruityC2 para a criação de um stager;
- projeto GitHub chamada Império PowerShell para agentes.
Para contornar detecção, cibercriminosos verificar se programas como Process Explorer estão em execução no sistema que está sob o ataque, e se o computador infectado é uma máquina virtual.
Leia também: Pesquisadores da Cisco Talos encontrado vulnerabilidade no DBMS SQLite
Entre outras coisas, o grupo tomou uma série de medidas adicionais a fim de responder apenas para obter-solicitações que contêm campos predefinidos, tais como cookies de sessão, um diretório de domínio específico, etc. Os dados transmitidos protegidos com a criptografia.
"Os atores’ preferência por soluções de código aberto parece ser parte de uma tendência mais ampla em que os adversários estão usando cada vez mais soluções disponíveis publicamente, possivelmente para melhorar a segurança operacional. Estas técnicas de ofuscação exigirá defensores de rede para modificar a sua postura e procedimentos para detectar esta ameaça”, - considerar pesquisadores da Cisco Talos.
Infecção do sistema ocorre por dois vectores. A primeira envolve o uso de um documento do Word maliciosos para baixar um modelo remoto que explora a vulnerabilidade perda de memória no Microsoft Office (CVE-2017-11882) para executar código.
O segundo vetor de ataque também envolve o uso de um documento do Word malicioso. Quando a vítima abre o documento, que é necessária para ativar as macros, e, em seguida, o script de Visual Basic começa a correr. Este script verifica sistema para a presença de ferramentas para análise de malware e pára o trabalho do malware se detectar sinais de uma máquina virtual.