ANY.RUN представив щомісячний звіт аналізу шкідливого ПЗ
Щомісячний звіт ANY.RUN про аналіз шкідливого програмного забезпечення за серпень 2023 року висвітлює важливі події в галузі кібербезпеки.
У серпні Міністерство юстиції США очолило глобальну операцію з нейтралізації шкідливого програмного забезпечення Qakbot, конфіскувавши криптовалюту на суму понад 8,6 мільйонів доларів і зруйнувавши її бот-мережу. LummaC Stealer використовує Amadey для доставки корисних даних, Raccoon Stealer повертається з новими функціями, новий варіант XLoader для macOS, замаскований під програму Office для крадіжки даних, та багато іншого.
1. Шкідливе ПЗ Qakbot нейтралізовано в глобальній операції
Міністерство юстиції США у співпраці з міжнародними партнерами зруйнувало ботнет та шкідливе програмне забезпечення Qakbot.
Ця операція включала дії у кількох країнах, включаючи США, Францію, Німеччину та Нідерланди. Видалення призвело до видалення шкідливого коду Qakbot з комп'ютерів жертв та конфіскації понад 8,6 мільйонів доларів у криптовалюті.
Qakbot був основним вектором зараження для кількох відомих груп програм-вимагачів, включаючи Conti та REvil. У ході операції також було виявлено понад 700 000 заражених комп'ютерів у всьому світі, що фактично відрізало їх від бот-мережі Qakbot.
2. LummaC Stealer використовує бот Amadey для розгортання SectopRAT у багатоетапних атаках
LummaC Stealer знаходиться в авангарді багатоетапної кампанії щодо поширення шкідливого ПЗ.
Викрадач починає з перехоплення конфіденційних даних, а потім викликає робота Amadey для оцінки системи. Згодом Amadey Bot розгортає SectopRAT, трояна віддаленого доступу, призначеного для крадіжки даних та віддаленого керування.
У кампанії використовуються платформи «Шкідливе програмне забезпечення як послуга» (MaaS), що спрощує участь різних суб'єктів загроз. У статті докладно розглядаються технічні аспекти цих штамів шкідливого програмного забезпечення та ланцюжка їх зараження.
3. Raccoon Stealer повертається з новими функціями
Raccoon Stealer, загроза типу «шкідливе програмне забезпечення як послуга» (MaaS), повернулася з розширеними можливостями після шестимісячної перерви.
Raccoon представив нові функції, такі як швидкий пошук файлів cookie та перепусток, автоматичне блокування ботів та систему звітів для блокування IP-адрес, що використовуються сканерами та ботами. Ці оновлення покликані полегшити зловмисникам пошук необхідної інформації, одночасно ускладнюючи засоби безпеки виявлення шкідливого програмного забезпечення.
4. Шкідливе програмне забезпечення DreamBus націлене на сервери RocketMQ через критичну вразливість.
Нова версія шкідливого програмного забезпечення ботнета DreamBus використовує критичну вразливість віддаленого виконання коду на серверах RocketMQ. Вразливість, визначена як CVE-2023-33246, зачіпає RocketMQ версії 5.1.0 та старше.
Шкідлива програма використовує інструмент розвідки з відкритим кодом interactsh для ідентифікації версій програмного забезпечення на серверах, доступних в Інтернеті. Потім він завантажує шкідливий bash-скрипт під назвою «reketed» з проксі-служби Tor, ухиляючись від виявлення AV-движками VirusTotal.
DreamBus фокусується на майнінг Monero, але його модульна природа може дозволити розширити можливості в майбутньому. Сервери RocketMQ зазвичай використовуються в комунікаціях, тому зловмисники можуть потенційно використовувати конфіденційні дані розмов для більшої монетизації.
5. Підроблені оновлення браузера призводять до зараження NetSupport RAT
Дослідники Trellix виявили кампанію, яка використовує підроблені оновлення браузера Chrome для доставки NetSupport Manager RAT.
Компанія використовує зламані веб-сайти для представлення підроблених оновлень Chrome, спонукаючи жертв встановити інструмент віддаленого адміністрування. Тактика аналогічна тій, яка використовувалася в раніше повідомленій кампанії SocGholish, але з деякими відмінностями у інструментах, що використовуються.
У кампанії використовується поєднання пакетних файлів, сценаріїв VB та інструменту Curl для завантаження та встановлення RAT, що ускладнює виявлення цієї атаки рішеннями кінцевих точок.
6. Варіант MacOS XLoader маскується під програму Office
Дослідники SentinelOne виявили новий варіант шкідливого програмного забезпечення XLoader для macOS.
На відміну від попередніх версій, що залежать від Java, ця написана на C та Objective C і підписана підписом розробника Apple.
Шкідлива програма маскується під офісну програму під назвою OfficeNote. Його мета – вкрасти секрети браузера та буфера обміну, орієнтуючись на користувачів у робочих середовищах. Незважаючи на те, що Apple відкликала підпис, XProtect, як і раніше, не запобігає його виконанню.
7. Вразливість KeePass дозволяє отримати майстер-паролі з пам'яті
Нова вразливість у менеджері паролів з відкритим вихідним кодом KeePass дозволяє зловмисникам витягувати майстер-паролі безпосередньо з пам'яті програмного забезпечення.
Вразливість, позначена як CVE-2023-32784, стосується версії KeePass 2.x до версії 2.54. Це наражає зловмисників на ризик відновлення основного пароля у вигляді відкритого тексту з різних джерел пам'яті, включаючи дампи процесів та файли глибокого сну. Інструмент для перевірки концепції, що демонструє експлойт, було опубліковано на GitHub.
Хоча експлойт вимагає локального доступу до системи користувача, він викликає побоювання щодо безпеки менеджерів паролів. KeePass планує випустити патч на початок червня для усунення цієї вразливості.
8. Реклама у Facebook на тему LLM поширює викрадачів профілів
Зловмисники використовують рекламу у Facebook, присвячену моделям великої мови (LLM), для поширення шкідливих надбудов браузера. Ці доповнення спрямовані на крадіжку облікових даних жертв.
Компанія використовує платні рекламні акції Facebook та засоби скорочення URL-адрес, такі як rebrand.ly, щоб заманити жертв. Після натискання на рекламу відбувається перенаправлення на веб-сайти, що пропонують «пакет AI», який насправді є шкідливим файлом, розміщеним у хмарних сховищах, таких як Google Drive та Dropbox. При запуску файл встановлює шкідливе розширення Chrome, призначене для крадіжки файлів cookie Facebook та токенів доступу.
Meta видалила шахрайські сторінки та рекламу. Проте зловмисники, зважаючи на все, націлені на менеджерів та адміністраторів ділових соціальних мереж, використовуючи їх інтерес до технологій штучного інтелекту для зловмисної вигоди.
9. Програма-вимагач BlackCat розвивається за допомогою інструментів Impacket та RemCom
Оновлена версія програми-вимагача BlackCat тепер включає інструменти Impacket та RemCom для розширеного горизонтального переміщення та віддаленого виконання коду.
Шкідлива програма використовує Impacket для скидання облікових даних та віддаленого виконання служб, що полегшує ширше розгортання цільових середовищах. У нього також вбудований інструмент RemCom для віддаленого виконання коду і жорстко закодовані облікові дані скомпрометованої мети для горизонтального переміщення.
Цей новий варіант слідує за оновленою версією під назвою Sphynx, яка з'явилася раніше цього року з покращеною швидкістю шифрування та скритністю. Група, що стоїть за BlackCat, продовжує розвиватись, нещодавно випустивши API витоку даних, щоб підвищити помітність своїх атак.
10. Шкідливе програмне забезпечення Gootloader націлене на юридичні фірми через SEO-водій
Шкідливе програмне забезпечення Gootloader використовує методи SEO для атак на юридичні фірми та приватних осіб, які шукають юридичну інформацію.
Шкідливе програмне забезпечення маніпулює результатами пошукових систем, перенаправляючи користувачів на зламані сайти WordPress. Опинившись там, користувачі схиляються до завантаження шкідливих файлів, замаскованих під юридичні документи. SpiderLabs компанії Trustwave повідомляє, що майже 50% цих атак спрямовані на юридичні фірми, а шкідливе програмне забезпечення має багатомовне охоплення і націлене на англійську, французьку, іспанську, португальську, німецьку та південнокорейську мови.
Gootloader є унікальним у своєму підході: він використовує SEO для заманювання жертв, а не покладається на традиційні методи фішингу. Цей метод дозволяє обробляти великий обсяг конкретних наборів даних, що робить юридичні фірми особливо вразливими через конфіденційну інформацію, з якою вони працюють.
Завершуємо серпень із ANY.RUN
Команда ANY.RUN приділяла велику увагу мережевим правилам, додавши в серпні 120 нових правил Suricata, значно розширивши охоплення загроз ANY.RUN.