Субота, 28 Травня, 2022
--- Advertisement ---

ДодомуСтаттіАтакувальники використовують отруєння SEO для поширювання шкідливих програм та крадіжки облікових даних
--- Advertisement ---

Атакувальники використовують отруєння SEO для поширювання шкідливих програм та крадіжки облікових даних

Атакувальники використовують отруєння SEO для поширювання шкідливих програм та крадіжки облікових даних

Нещодавня кампанія використовувала отруєння пошукової оптимізації (SEO), а також низку легальних інструментів для уникнення виявлення, з кінцевою метою зараження цілей шкідливим програмним забезпеченням, крадіжки облікових даних тощо.

У звіті Mandiant цього тижня йдеться, що зловмисне програмне забезпечення Batloader, завантажене на ранніх етапах багатоетапного ланцюга атак, дало зловмисникам початкову опору всередині цільових організацій. Звідти зловмисники використовували як законні інструменти, так і шкідливе програмне забезпечення для віддаленого доступу, підвищення привілеїв, збереження та крадіжки облікових даних.

«Кожен етап був підготовлений до наступної фази ланцюга атаки», — сказали Нг Чун Кіат, Анджело дель Росаріо та Мартін Ко з Mandiant у звіті. «А законні інструменти, такі як PowerShell, Msiexec.exe та Mshta.exe, дозволяють виконувати через проксі шкідливі корисні навантаження, щоб уникнути їх виявлення».

--- Advertisement ---

Початковим вектором атаки було отруєння SEO, коли суб’єкти загрози створюють шкідливі веб-сайти, які використовують ключові слова та методи, дружні до SEO, щоб підвищити їх рейтинг у результатах пошуку. Цю тактику вже давно використовують зловмисники, у тому числі під час кампанії, поміченої в червні Microsoft, яка поширювала зловмисне програмне забезпечення SolarMarker. Оскільки отруєння SEO кидає широку мережу на відвідувачів пошукових систем, ця тактика зазвичай не зустрічається у високоцілеспрямованих атаках, і дослідники Mandiant кажуть, що жертви цієї специфічної кампанії, схоже, працюють у широкому діапазоні галузей.

Зловмисники використовували теми «безкоштовне встановлення додатків для продуктивності» або «інсталяція безкоштовних засобів розробки програмного забезпечення», щоб заманити жертв на свої веб-сайти. Якщо ціль відвідувала веб-сайт і завантажувала те, що вважалося програмним засобом для підвищення продуктивності або інструментом розробки програмного забезпечення, наприклад програми Zoom або TeamViewer, вони фактично завантажували програму встановлення, яка містила законне програмне забезпечення в комплекті зі зловмисним програмним забезпеченням Batloader, яке було скинуто та виконано, під час процесу встановлення програмного забезпечення.

Зловмисники використовували кілька законних інструментів, щоб уникнути виявлення. Як частина ланцюга атаки, вони вбудували шкідливий VBScript в законну DLL – внутрішній компонент операційної системи Microsoft Windows – таким чином, щоб підпис коду залишався дійсним.

«Мотивації групи загроз наразі невідомі, але ми підозрюємо, що група фінансово мотивована на основі, здавалося б, індустрії, що веде до діяльності програм-вимагачів».

Дослідники сказали, що зразок DLL не виконував VBScript при запуску самостійно. Однак під час запуску з Mshta.exe – утилітою для Windows, розробленою для виконання файлів програми Microsoft HTML (HTA) – утиліта Mshta.exe без проблем знайде та виконає VBScript. За словами дослідників, ця техніка ухилення використовувалася кілька разів протягом ланцюга атаки, щоб змінити налаштування хоста та запустити корисне навантаження.

«Ця проблема найбільше нагадує CVE-2020-1599, підпис PE Authenticode залишається дійсним після додавання підтримуваних HTA скриптів, підписаних будь-яким розробником програмного забезпечення», — сказали дослідники. «Ці поліглоти PE+HTA (файли .hta) можна використовувати через Mshta.exe для обходу рішень безпеки, які покладаються на підписання коду Microsoft Windows, щоб визначити, чи є файли довіреними. Ця проблема була виправлена ​​як CVE-2020-1599».

Зловмисники також використовували законну утиліту Gpg4win, яка дозволяє користувачам безпечно переносити електронні листи, інструмент керування системою NSUDO, програмне забезпечення для керування віддаленим моніторингом Atera та програмне забезпечення віддаленого доступу та підтримки SplashTop, щоб підтримувати такі дії, як віддалений доступ, підвищення привілеїв, запуск корисного навантаження, шифрування та збереження. Слід зазначити, що в деяких випадках зловмисник розгорнув інструмент Atera безпосередньо під час початкового компромісу, на відміну від використання зловмисного програмного забезпечення Batloader.

Нарешті, зловмисники завантажили зловмисне програмне забезпечення, як-от Beacon і Ursnif, щоб надати бекдор для крадіжки облікових даних.

Деякі дії кампанії збігаються з прийомами в кількох посібниках, які були розкриті в серпні невдоволеним філією Conti з вимагачами, які розкрили навчальні документи, підручники та інструменти, які використовуються в операціях з викупом Conti.

Conti, одна з багатьох операцій-вимагачів як послуга (RaaS), які з’явилися в останні роки, має кілька філій, які націлені на низку організацій, від постачальників медичних послуг до систем 911, ФБР, CISA і АНБ у спільному вересневому релізі попередили про загрозу підприємствам з боку групи.

«Наразі, через публічне оприлюднення цієї інформації, інші незалежні дійові особи можуть відтворювати методи для своїх власних мотивів і цілей», — сказали дослідники. «Мотивація групи загроз наразі невідома, але ми підозрюємо, що група фінансово мотивована на основі, здавалося б, індустрії, що веде до діяльності з програмним забезпеченням-вимагачем.»

Дати оцінку данній статті
--- Advertisement ---

--- Advertisement ---

СХОЖІ ЗАПИСИ

НАПИСАТИ ВІДПОВІДЬ

введіть свій коментар!
введіть тут своє ім'я

--- Advertisement ---

Останні Новини