Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Trojan Downloader SkinnyBoy Malware

SkinnyBoy Malware

Med CagedTech i Trojan Downloader
Oversæt til:
Dansk

Infosec-eksperter fra Cluster 25-trusselforskningsfirmaet afslørede en ny spydfishing-kampagne, der blev leveret mod strategiske enheder. Som en del af angrebskæden fandt forskerne en ny malware-trussel, der fungerede som en mid-stage downloader, der havde til opgave at levere den endelige truende nyttelast på brudte systemer. Navngivet SkinnyBoy, er malware tilskrevet for at være en del af det russisk-talende APT28- bendes skadelige arsenal. Denne særlige trusselsaktør bliver også tacklet under navnene Fancybear, Sednit, Strontium, PwnStorm og Sofacy.

SkinnyBoy-egenskaber

SkinnyBoy-angrebet begynder med levering af e-mails om phishing af agn. Ofre modtager en falsk invitation til en international videnskabelig begivenhed, der angiveligt vil finde sted i Spanien, i slutningen af juli. Vedhæftet til e-mailen er et våbenmæssigt Microsoft-dokument, der indeholder en beskadiget makro. Efter aktivering ekstraherer makroen en malware-downloader i form af en DLL-fil.

SkinnyBoy leveres ved siden af det inficerede system. Truslen ankommer som en fil med navnet 'tpd1.exe.' Når SkinnyBoy er startet, forsøger den at etablere en vedvarende mekanisme ved at oprette en LNK-fil under Windows Startup-mappe. Hver gang det kompromitterede system genstartes, bliver LNK udløst og begynder at lede efter den vigtigste SkinnyBoy-nyttelastfil 'TermSrvClt.dll.' Det gør det ved at scanne SHA256-hash for hver fil, der er gemt i C: \ Brugere \% brugernavn% \ AppData \ Lokal placering.

SkinnyBoys kerneopgave er levering af den endelige nyttelast på de inficerede systemer. Mens den findes på systemet, vil truslen dog også indsamle specifikke oplysninger ved at udnytte Windows-værktøjerne 'syteminfo.exe' og 'tasklist.exe.' Data indsamles fra følgende filer og placeringer:

  • C: \ Brugere \% brugernavn% \ Desktop
  • C: \ Program Files - C: \ Program Files (x86)
  • C: \ Brugere \% brugernavn% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programmer \ Administrative værktøjer
  • C: \ Brugere \% brugernavn% \ AppData \ Roaming
  • C: \ Brugere \% brugernavn% \ AppData \ Roaming \ Microsoft \ Windows \ Templates
  • C: \ Windows - C: \ Brugere \ bruger \ AppData \ Local \ Temp

Oplysningerne, der høstes af SkinnyBoy, organiseres derefter, indkodes i base64-format og exfiltreres til Command-and-Control-serverne til operationen.

SkinnyBoy Ofre

SkinnyBoy-malware er hidtil blevet implementeret mod et stort sæt potentielle ofre. Det ser ud til, at APT28 hovedsageligt er målrettet mod regeringsorganer såsom udenrigsministerier, enheder i forsvarsindustrien, ambassader og militære sektororganisationer. Mens flere af ofrene befandt sig i EU, kan APT28 muligvis operere i større målestok, hvor angrebet muligvis også påvirker amerikanske organisationer.

Trending

Mest sete

Indlæser...