TEARDROP Malware

Med Mezo i Malware, Remote Administration Tools, Trojan Downloader

Oversæt til:

TEARDROP er en af de malware-trusler, der er udnyttet i forsyningskædeangrebet mod Solarwinds Orion-platform. Trusselsaktøren løsnede en række forskellige truende værktøjer i overensstemmelse med operationens specifikke mål og det bestemte inficerede mål. Den aldrig før sette TEARDROP-malware fungerede som en anden-trins dropper, der havde til opgave at levere en næste-trins nyttelast - Cobalt Strike Beacon Implant (version 4). Det skal bemærkes, at Cobalt Strike er et legitimt fjernadgangsværktøj designet til at blive brugt i penetrationstest. Imidlertid har det store sæt potente funktioner gjort det til et populært arrangement i arsenalet af flere hackergrupper. Cobalt Strike tillader en potentiel trusselsaktør at etablere næsten fuld kontrol over det kompromitterede system. RAT (Remote Access Tool) kan kommandere til at etablere keylogging-rutiner, tage vilkårlige billeder på systemet, levere yderligere skadelige nyttelast, manipulere filsystemet og exfiltrere udvalgte følsomme data til eksterne servere gennem krypterede tunneler.

TEARDROP Malwares struktur

TEARDROP-dropperen er et truende 64-bit-bibliotek med dynamisk link (DLL), der fungerer i hukommelsen helt uden at skrive nogen filer på disken. Den kører som en tjeneste, gyder en tråd og læser de første 64-bytes i en fil med navnet ' festive_computer.jpg .' Dataene er ikke nødvendige for noget, og truslen fortsætter med dens operationer, selv uden filen 'festive_computer.jpg '. Filens faktiske navn kan variere, da nogle infosec-forskere har opdaget andre versioner som ' gracious_truth.jpg '.

Det næste trin for TEARDROP-malware er at kontrollere for tilstedeværelsen af HKU \ SOFTWARE \ Microsoft \ CTF og afkode den indlejrede Cobalt Strike-fyrværksnyttelast via en brugerdefineret XOR-algoritme. Endelig indlæser dropper den integrerede nyttelast i hukommelsen gennem et brugerdefineret PE-lignende format.

TEARDROP er tæt beslægtet med en anden dropperfamilie observeret i det samme forsyningskædeangreb ved navn Raindrop. De to trusler har identiske funktioner og signifikante overlapninger stort set, og de udviser nogle vigtige forskelle. Den største skelnen mellem de to malware-familier er brugen af en anden pakke til Raindrop .

Søg

Skift region

TEARDROP Malware

Tilføj kommentar

Trending

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mest sete

Er Lookmovie.io sikkert?

Sådan løses 'Fejl ved' Printerdriver er ikke...

Discord viser sort skærm, når skærmdeles