Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новый вредоносный загрузчик Emmenhtal использует скомпрометированные серверы WebDAV

23/09/24

hack167-Sep-23-2024-09-30-32-4913-AM

Компания Sekoia опубликовала отчет , в котором описан относительно новый сервис загрузчика вредоносных программ под названием Emmenhtal. Главной особенностью этого вредоносного ПО является использование скомпрометированных серверов WebDAV для размещения полезных нагрузок своих клиентов.

Emmenhtal, известный также как PeakLight, распространяет различные вредоносные программы, такие как инфостилеры. С момента появления в декабре 2023 года он активно привлекает внимание специалистов в области кибербезопасности благодаря своему скрытному подходу. Загрузчик функционирует исключительно в памяти, что затрудняет его обнаружение и анализ, пишет Securitylab.

Команда Sekoia провела расследование инфраструктуры, используемой для распространения Emmenhtal, и выявила, что вредоносные файлы размещаются на серверах WebDAV. WebDAV, являясь расширением протокола HTTP, позволяет управлять файлами на веб-серверах, что делает его полезным для легальных задач. Однако злоумышленники все чаще используют эту технологию для своих целей. В рамках этой схемы пользователи перенаправляются на сервер WebDAV, где через специально подготовленные файлы, такие как «.lnk», загружаются вредоносные программы.

Особое внимание привлекает способ распространения через использование легитимного системного файла «mshta.exe», который предназначен для выполнения HTML-приложений. Применение таких доверенных системных файлов позволяет злоумышленникам обходить защитные механизмы и скрывать свои действия. В анализируемой инфраструктуре Sekoia было выявлено более 100 серверов WebDAV, через которые распространяются вредоносные файлы.

Кроме того, эксперты обнаружили, что через эту инфраструктуру распространяются различные семейства вредоносных программ, включая SelfAU3, DarkGate, Amadey и другие. Это свидетельствует о том, что инфраструктура может предлагаться в качестве сервиса для других злоумышленников, предоставляя возможность аренды серверов и инструментов для размещения и доставки вредоносных программ.

На протяжении нескольких месяцев инфраструктура Emmenhtal использовала одни и те же автономные системы (AS) для хостинга серверов WebDAV, что может свидетельствовать о централизованном характере этой операции. В числе используемых AS оказались компании Terasyst Ltd, Zonata и другие, что может говорить о надежных договоренностях с провайдерами.

Темы:УгрозыSEKOIAвредоносные загрузчики
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...