Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер MixShell

Зловреден софтуер MixShell

До Mezo през Зловреден софтуерг
Превод на:

Изследователи по киберсигурност са разкрили сложна операция за социално инженерство с кодово име ZipLine, която използва скрит зловреден софтуер в паметта, известен като MixShell. Кампанията е насочена предимно към критично важни за веригата за доставки производствени компании и представлява нарастваща тенденция на нападатели, експлоатиращи надеждни бизнес работни процеси, а не традиционни фишинг методи.

От формуляри за контакт до компромис

За разлика от конвенционалните фишинг атаки, извършвани чрез непоискани имейли, операторите на ZipLine започват своето проникване чрез формата „Свържете се с нас“ на компанията. Този фин подход установява доверие от самото начало. Следва многоседмичен обмен на професионална и убедителна комуникация, често подсилена от изфабрикувани споразумения за неразкриване на информация, преди нападателите да доставят злонамерен ZIP архив, съдържащ MixShell.

Тази търпелива тактика за изграждане на доверие отличава ZipLine от кампаниите, водени от сплашване. В някои случаи нападателите дори оформят подхода си около инициативи, водени от изкуствен интелект, представяйки се като партньори, които могат да помогнат за намаляване на разходите и повишаване на ефективността.

Кой е на мушката?

Насочването на ZipLine е широкообхватно, но е фокусирано върху организации, базирани в САЩ, в рамките на критично важни за веригата на доставки индустрии. Други засегнати региони включват Сингапур, Япония и Швейцария.

Ключовите целеви сектори включват:

  • Промишлено производство (машини, металообработка, компоненти, инженерни системи)
  • Хардуер и полупроводници
  • Биотехнологии и фармацевтика
  • Производство на потребителски стоки

Нападателите използват и домейни, имитиращи регистрирани в САЩ дружества с ограничена отговорност (LLC), като понякога пренасочват тези на легитимни, но неактивни бизнеси. Тези клонирани уебсайтове сочат към силно структурирана, мащабна операция.

Анатомия на атакуващата верига

Успехът на ZipLine се крие в многоетапен процес на заразяване, предназначен за скритост и постоянство. Преобразуваните в оръжие ZIP архиви обикновено се хостват на Herokuapp.com, легитимна облачна услуга, което помага на зловредния софтуер да се слее с нормалната мрежова активност.

Процесът на инфекция включва:

  • Пряк път на Windows (LNK) вътре в ZIP файла задейства PowerShell зареждаща програма.
  • Зареждащата програма внедрява MixShell, персонализиран имплант, изпълняван изцяло в паметта.
  • MixShell комуникира чрез DNS тунелиране (с HTTP резервен вариант), което позволява дистанционно изпълнение на команди, манипулиране на файлове, обратно проксиране, персистентност и мрежова инфилтрация.
  • Някои версии включват техники за отстраняване на грешки и избягване на пясъчник, както и планирани задачи за поддържане на постоянство.
  • Забележително е, че LNK файлът стартира и документ-примамка, като допълнително маскира злонамереното поведение.

Връзки към предишна активност, свързана със заплахи

Изследователи са установили припокривания между цифровите сертификати, използвани в инфраструктурата на ZipLine, и тези, свързани с атаки на TransferLoader, приписвани на групата хакери, наречена UNK_GreenSec. Въпреки че атрибуцията остава несигурна, тази връзка подсказва за добре организиран и находчив участник с предишен опит в мащабни кампании.

Рисковете от кампанията на ZipLine

Последиците от успешна инфекция с MixShell могат да бъдат тежки, вариращи от кражба на интелектуална собственост и компрометиране на бизнес имейли до инциденти с ransomware и прекъсване на веригата за доставки. Предвид естеството на целевите индустрии, въздействието може да се разпростре отвъд отделните компании до цели производствени екосистеми.

Защитни мерки: Да бъдем в крак със социално инженерните заплахи

Кампанията ZipLine подчертава как киберпрестъпниците внедряват иновации, използват човешката психология, надеждни комуникационни канали и теми, свързани с изкуствения интелект, за да експлоатират доверието.

За да се справят с подобни заплахи, организациите трябва:

  • Приемете защити, насочени към превенция, способни да откриват аномално поведение.
  • Обучете служителите да подхождат скептично към всяко входящо запитване, независимо от използвания канал.
  • Прилагайте строги правила за работа с файлове, особено по отношение на ZIP архиви и файлове с преки пътища.
  • Засилете наблюдението за комуникационни аномалии, базирани на DNS, които могат да показват тунелиране.

Изграждането на култура на бдителност е от решаващо значение. Доверието, веднъж превърнато в оръжие, се превръща в един от най-ефективните инструменти в арсенала на нападателя.

Тенденция

Пратката е създадена с имейл измама на DHL Express

Фишинг, Спам
Фишинг кампаниите продължават да експлоатират доверието, което хората гласуват в известни компании. Една такава схема, която се разпространява, е имейл измамата „Пратката е създадена с DHL Express“. Въпреки че тези съобщения се преструват, че произхождат от глобалния логистичен доставчик DHL, те по никакъв начин не са свързани с легитимната компания. Вместо това те са внимателно изработени...

Най-гледан

Зловреден софтуер

Фишинг, Спам
35,976
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...