Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Троян Amadey распространяется через PDF-документы

02/11/23

04gbkycwMLsiwVhPxh71mEZ-1

Специалисты в кибербезопасности из команды 360 Threat Intelligence Center обнаружили новую кампанию группировки APT-C-36, известной своими целенаправленными фишинговыми атаками. На этот раз киберпреступники решили усилить свои атаки, внедрив троян Amadey в кампанию по распространению вредоносных PDF-документов, пишет Securitylab.

Троян Amadey впервые появился на рынке в октябре 2018 года и представляет собой модульный ботнет, способный к обходу защиты внутренних сетей, краже информации, удаленному управлению зараженными системами, осуществлению DDoS-атак и другим действиям.

Обнаруженные документы содержат вредоносный VBS-скрипт, который загружается из облачных сервисов и замаскирован под шифрованный сжатый пакет. После активации скрипт использует Powershell для выполнения вредоносного кода, представленного в кодировке Base64.

В составе загружаемых полезных нагрузок обнаружен net_dll — компонент, часто используемый APT-C-36 для отражающей DLL-загрузки (Reflective DLL Loading), а также сам Amadey. С помощью трояна злоумышленники могут выполнять широкий спектр действий, включая кражу данных и боковое перемещение (Lateral Movement) в пределах сети.

В ходе атаки троян интегрируется в системный процесс, что позволяет ему незаметно действовать в зараженной системе. Далее Amadey, получив контроль, загружает дополнительные вредоносные файлы, среди которых — компоненты для сбора конфиденциальной информации и выполнения вредоносных скриптов.

Каждый шаг атаки координируется с сервером управления и контроля (Command and Control, C2), который получает от трояна данные о зараженном компьютере. Такая связь позволяет операторам APT-C-36 контролировать развертывание вредоносного ПО и собирать данные.

Важно отметить, что методы, используемые в этой атаке, аналогичны тем, что применялись хакерами в прошлом, что свидетельствует об их предпочтении к проверенным подходам. Однако активное внедрение новых инструментов и усовершенствование существующих тактик указывает на то, что APT-C-36 продолжает развивать свои возможности.

Эксперты предупреждают, что действия группы не ограничиваются одним регионом, а их атаки затрагивают пользователей по всему миру. По мере развития тактик и инструментов APT-C-36 можно ожидать увеличения количества и сложности целевых атак, что требует повышенного внимания к мерам кибербезопасности со стороны организаций и частных лиц.

Темы:УгрозытрояныPDF360 Threat Intelligence Centre
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...