Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

В ходе масштабной фишинговой кампании использовались три новых вредоноса

06/05/21

hack10-May-06-2021-10-14-03-67-AMПреступники организовали масштабную фишинговую кампанию против организаций из самых разных отраслей в странах по всему миру с использованием новых видов вредоносных программ. По словам специалистов из компании Mandiant, атаки затронули не менее 50 организаций и проходили в два этапа — 2 декабря и с 11 по 18 декабря прошлого года.Группировка UNC2529, стоящая за этой кампанией, с помощью специальных фишинговых приманок заражала компьютеры жертв тремя новыми вредоносными программами.

«Злоумышленники использовали методы обфускации и бесфайловые вредоносные программы, чтобы усложнить обнаружение и создать хорошо закодированный и расширяемый бэкдор», — пояснили эксперты.

В ходе атак группировка использовала фишинговые электронные письма со ссылками на JavaScript-загрузчик (получивший название DOUBLEDRAG) или документ Microsoft Excel со встроенным макросом, который устанавливал загрузчик на основе PowerShell (DOUBLEDROP) с C&C-сервера злоумышленников. После запуска DOUBLEDRAG обращается к C&C-серверу и устанавливает загрузчик в память системы. DOUBLEDROP реализован в виде PowerShell-скрипта, который содержит как 32-битные, так и 64-битные экземпляры бэкдора DOUBLEBACK. Загрузчик выполняет начальную настройку и обеспечивает персистентность бэкдора на скомпрометированной системе.

Бэкдор внедряется в PowerShell-процесс загрузчика и позже попытается внедрить себя во вновь созданный процесс установщика Windows (msiexec.exe), если антивирусное ядро ​​Bitdefender не запущено на скомпрометированном компьютере. На следующем этапе бэкдор DOUBLEBACK загружает плагин и обращается к C&C-серверу в ожидании команд.

«Интересный факт об инфраструктуре вредоноса заключается в том, что в файловой системе существует только загрузчик. Остальные компоненты сериализованы в базе данных реестра, что несколько затрудняет их обнаружение, особенно файловыми антивирусными механизмами», — отметили эксперты.

UNC2529 в рамках фишинговой кампании задействовала примерно 50 доменов. Письма отправлялись якобы от имени руководителей компаний и были нацелены на медицинскую промышленность, производителей высокотехнологичной электроники, автомобилей и военного оборудования, а также на оборонного подрядчика. Хотя основной целью киберпреступников были компании в США, атаке также подверглись организации из EMEA (Европа, Ближний Восток и Африка), Азии и Австралии.
Темы:ПреступленияфишингMandiant
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...