MINEBRIDGE RAT

Angreb rettet mod sikkerhedsforskere ser ud til at vokse i popularitet blandt cyberkriminelle. En trusselgruppe, der menes at være begyndt at gennemføre sådanne angreb, er TA505. Bevis påpeger, at TA505 har været aktiv siden mindst 2014. Gruppen er kendt for at udnytte MINEBRIDGE RAT i sine aktiviteter.

Den seneste kampagne anvender en angrebskæde i flere trin, der i sidste ende implementerer MINEBRIDGE RAT på det målrettede computersystem. Hackerne lokker deres ofre med falske jobgenoptagelser (CV'er) i form af makrobaserede Word-dokumenter. Når den udføres, viser den ondsindede fil en bekræftelsesmeddelelse - 'Fil med succes konverteret fra PDF' og viser et jobgenoptagelse, der angiveligt er sendt af en trusselunderretningsanalytiker. Dette er kun et lokkemiddel, der er designet til at henlede offerets opmærksomhed væk fra den underliggende makrokode, der konstruerer en kommandolinje i baggrunden, der er i stand til at hente kodet indhold fra en bestemt IP-adresse. Det downloadede selvudpakkende (SFX) arkiv slettes i brugerens% appdata% -mappe.

Et komplekst angreb i flere trin leverer MINEBRIDGE RAT

SFX-filen repræsenterer den første fase af MINEBRIDGE RAT-angrebskæden. Det udføres gennem certutil.exe og resulterer i legitime TeamViewer-binære filer, flere DLL-filer og yderligere dokumentfiler, der tabes på det kompromitterede system. En af de leverede binære filer med navnet 'defrender.exe' er ansvarlig for at indlede den næste fase af angrebet. Det skal bemærkes, at binærprogrammet er designet til at fremstå som en legitim Windows Defender-binær.

Trin 2 i angrebet inkluderer udførelsen af TeamViewer-applikationen, som derefter tvinges til at udføre DLL-sideindlæsning. Det indlæser den medfølgende msi.dll-fil, der igen pakker shellcode ud og udfører den. Shellkoden har til opgave at levere den UPX-pakkede binær af den endelige nyttelast - MINEBRIDGE RAT.

Når den er fuldt implementeret, giver truslen angriberne mulighed for at udføre en bred vifte af ondsindede aktiviteter. De kan spionere på de kompromitterede brugere samt installere yderligere malware-nyttelast. MINEBRIDGE RAT skaber tre separate trusler, der hver har forskellige ansvar:

Etablering af C&C kommunikation og implementering af persistensmekanismen
Kontrol af systemets inaktiv status ved at overvåge timingen for den sidste indgang
Undgå utilsigtede pop op-meddelelser ved at dræbe ShowNotificationDialog-processen

Trusselsens vedholdenhedsmekanisme opnås gennem en LNK-fil med navnet 'Windows Logon.lnk', der falder ned i systemets startkatalog.

Trending

Mest sete

Indlæser...