Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Täiustatud püsiv oht (APT) Vampire Bot pahavara

Vampire Bot pahavara

Aastaks Mezo aastal Täiustatud püsiv oht (APT), Pahavara
Tõlgi:

Vietnami keelt kõnelev pahavarategelase BatShadow nime all käitab sihitud kampaaniat, mis meelitab tööotsijaid ja digitaalse turunduse spetsialiste installima seni dokumenteerimata Go-põhist pahavara, mida teadlased nimetavad Vampire Botiks. Rühmitus teeskleb värbajaid ning levitab pealtnäha legitiimseid ametijuhendeid ja ettevõtte PDF-faile, millega suhtlemisel käivitatakse mitmeastmeline nakkusahel ning pakutakse kaugjälgimise ja andmete varguse võimalusi.

Sotsiaalne manipuleerimine ja peibutiste kohaletoimetamine

Ründajad loovad värbamisstiilis sõnumeid ja ZIP-manuseid, mis sisaldavad peibutus-PDF-faile koos pahatahtlike otseteedega (LNK) või PDF-idena maskeeritud käivitatavate failidega. Dokumendipeibutised on spetsiaalselt suunatud turundusrollidele (üks peibutis viitas Marriotti turundustööle), et suurendada usaldusväärsust sihtrühma silmis. Ohvreid julgustatakse tööülesannete kirjeldust „eelvaatama“ või alla laadima, mis käivitab mitmeastmelise ärakasutamise jada.

Nakkusahela progresseerumine

ZIP-paketid sisaldavad pahatahtlikku LNK-d, mis käivitab manustatud PowerShelli skripti. See skript võtab ühendust välise serveriga, et hankida meelitav PDF-fail ja eraldi ZIP-pakett, mis sisaldab XtraVieweriga (kaugtöölaua tarkvara) seotud faile. XtraVieweri komponendid käivitatakse – tõenäoliselt püsivuse või kaugjuurdepääsu loomiseks – ja ahel jätkub kuni Go käivitatava faili installimiseni.

Edge’i ümbersuunamiste kuritarvitamine

Kampaania peamine nipp on maandumisleht, mis kuvab võltsitud veateate „mittetoetatud brauser” ja juhendab ohvreid URL-i kopeerima ja see Microsoft Edge'is avama. Skriptitud ümbersuunamised on tänapäevaste brauserite poolt sageli blokeeritud, seega loodavad ründajad kasutaja veenmisele käsitsi toimingu tegemiseks (kopeerimine/kleepimine Edge'i), mida seejärel käsitletakse kasutaja algatatuna ja mis võimaldab allalaadimisvoogu jätkata. Pärast lehe avamist Edge'is kuvatakse veel üks võltsitud veateade, mis väidab, et PDF-fail on tihendatud ja „saadetud teie seadmesse”, mis käivitab automaatse ZIP-allalaadimise.

Kasuliku koormuse ja peibutusobjekti nimetamise trikk

Automaatselt allalaaditud ZIP-fail sisaldab väidetavat tööülesande kirjeldust ja pahatahtlikku käivitatavat faili, mis näeb välja nagu PDF-fail (näiteks „Marriott_Marketing_Job_Description.pdf.exe”). Käivitatav fail kasutab failinime täiteainet (lisatühikud „.pdf” ja „.exe” vahel), mistõttu näeb see mõnes vaates välja nagu PDF-fail, mis suurendab tõenäosust, et ohvrid selle käivitavad.

Vampire Boti võimed

Maha visatud käivitatav fail on Golangi binaarfail nimega Vampire Bot. Selle täheldatud võimete hulka kuuluvad:

  • nakatunud peremeesorganismi loendamine ja profileerimine,
  • laiaulatusliku andmekogumi varastamine (volitusandmete salvestusruumid, failid jne),
  • ekraanipiltide tegemine konfigureeritava ajakava alusel,
    ja
  • Käskude vastuvõtmiseks või täiendavate kasulike koormuste allalaadimiseks hoides ründaja serveriga (teatatud kui api3.samsungcareers.work) käskude ja juhtimist ühendavat sidet.

Omistamine ja infrastruktuur

Analüütikud seostavad seda tegevust Vietnamiga infrastruktuuri taaskasutamise – näiteks IP-aadressi (103.124.95.161) abil, mida varem seostati Vietnamiga seotud operaatoritega – ja sihtimismustrite põhjal. BatShadow on varem sihikule võtnud digitaalturunduse spetsialiste ning kattub teiste rahaliselt motiveeritud Vietnami rühmitustega, mis teadaolevalt kasutavad Facebooki ärivarasid kaaperdavaid varastajaid. Grupp näib olevat tegutsenud vähemalt aasta ja on varem kasutanud domeene nagu samsung-work.com pahavara perekondade, sealhulgas Agent Tesla, Lumma Stealer, Venom RAT levitamiseks ning 2024. aasta oktoobris kampaaniaid, mis levitasid Quasar RAT-i sarnaselt lõksudega varustatud ametijuhendifailide kaudu.

Miks on rünnak efektiivne?

BatShadow ühendab endas valdkonna jaoks olulisi peibutisi (turundustöökuulutused), failinimede trikke, etapiviisilisi koormusi (lihtsa failiskannimise vältimiseks) ja voo, mis sunnib käsitsi brauseri toiminguid tegema, et mööda hiilida skriptitud ümbersuunamiskaitsetest. See sotsiaalse manipuleerimise ja mitmeastmeliste tehniliste sammude segu suurendab eduka sissetungi ja pikaajalise juurdepääsu võimalusi.

Kokkuvõte

BatShadowi kampaania rõhutab, kui tõhus on sihipärane sotsiaalne manipuleerimine koos etapiviisilise ja vältimatu tehnilise ahelaga. Organisatsioonid, mis värbavad sageli või tegelevad kandidaatide liiklusega – ja digitaalse turunduse spetsialistid, kes haldavad veebiressursse – peaksid karmistama meilide/manuste käitlemist, rakendama rangeid täitmise kontrolle ja käsitlema värbamisstiilis manuseid kõrge riskiga manustena kuni nende valideerimiseni.

Trendikas

Teie postkasti versiooni tootmine lõpetatakse – pettus

Andmepüük, Rämpspost
Veebipetturid töötavad pidevalt välja uusi nippe kasutajate petmiseks ja väärtuslike andmete varastamiseks. Üks selline näide on pettus „Teie postkasti versioon eemaldatakse” – andmepüügikampaania, mille eesmärk on koguda sisselogimisandmeid pahaaimamatutelt ohvritelt. Küberturvalisuse eksperdid hoiatavad, et need petturlikud sõnumid ei ole seotud ühegi seadusliku ettevõtte, organisatsiooni ega...

Enim vaadatud

Laadimine...