Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

DarkGate теперь атакует пользователей через серверы Samba

15/07/24

images - 2024-07-15T143538.486

Специалисты Palo Alto Networks Unit 42 обнаружили кампанию DarkGate, в ходе которой используются файловые ресурсы Samba для распространения трояна. Активность наблюдалась в марте и апреле 2024 года, когда DarkGate использовал общедоступные серверы Samba, размещающие файлы VBS и JavaScript. Целями атак стали пользователи в Северной Америке, Европе и Азии.

Вредоносное ПО DarkGate, впервые появившееся в 2018 году, работает по модели MaaS для ограниченного числа клиентов. DarkGate обладает функциями удаленного управления зараженными хостами, выполнения кода, майнинга криптовалюты, запуска реверс-шелла (Reverse Shell) и доставки дополнительных полезных нагрузок. В последние месяцы атаки с использованием DarkGate значительно участились после международной операции, в ходе которой правоохранительные органы ликвидировали инфраструктуру QakBot в августе 2023 года.

Обнаруженная кампания DarkGate начинается с отправки по email файлов Microsoft Excel (.xlsx), которые при открытии призывают пользователя нажать кнопку «Открыть». После нажатия на кнопку выполняется VBS-код, размещенный на Samba. VBS-код загружает с C2-сервера PowerShell-скрипт, который в конечном итоге загружает пакет DarkGate на основе AutoHotKey. Альтернативные сценарии используют JavaScript вместо VBS, чтобы загрузить и выполнить последующий скрипт PowerShell.

c0ehnsgv3uhog0fvbfvrjz31dmyzckml

Одним из методов антианализа DarkGate является идентификация ЦП целевой системы. Троян проверяет, запущен ли он в виртуальной среде или на физическом хосте. Проверка позволяет прекратить работу, чтобы избежать анализа в контролируемой среде. Вредоносное ПО также исследует запущенные процессы на хосте для обнаружения инструментов реверс-инжиниринга, отладчиков или программ виртуализации.

Помимо проверки информации о ЦП, DarkGate также сканирует систему на наличие множества других программ защиты от вредоносного ПО. Выявляя установленное ПО безопасности, DarkGate может избежать срабатывания механизмов обнаружения или даже отключить их, чтобы избежать дальнейшего анализа.

Трафик управления и контроля (C2) использует незашифрованные HTTP-запросы, но данные обфусцированы и представлены в виде текста, закодированного в Base64. Специалисты подчеркнули, что DarkGate продолжает развиваться и совершенствовать методы проникновения и сопротивления анализу, оставаясь громким напоминанием о необходимости надежной и проактивной защиты кибербезопасности.

Темы:УгрозытрояныSambaPalo Alto Networks
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...