Monen lisenssin alennustarjous
Uhatietokanta Advanced Persistent Threat (APT) Vampire Bot -haittaohjelma

Vampire Bot -haittaohjelma

Vuonna Mezo vuonna Advanced Persistent Threat (APT), Haittaohjelma
Käännä:

Vietnaminkielinen uhkatoimija, jota jäljitetään nimellä BatShadow, pyörittää kohdennettua kampanjaa, joka houkuttelee työnhakijoita ja digitaalisen markkinoinnin ammattilaisia asentamaan aiemmin dokumentoimattoman Go-pohjaisen haittaohjelman, jota tutkijat kutsuvat Vampire Botiksi. Ryhmä tekeytyy rekrytoijiksi ja levittää näennäisesti laillisia työpaikkailmoituksia ja yritysten PDF-tiedostoja, jotka vuorovaikutuksessa käynnistävät monivaiheisen tartuntaketjun ja tarjoavat etävalvonta- ja tietovarkausominaisuuksia.

Sosiaalinen manipulointi ja houkuttelutoimitukset

Hyökkääjät laativat värväystyyppisiä viestejä ja ZIP-liitteitä, jotka sisältävät houkutus-PDF-tiedostoja sekä haitallisia pikakuvakkeita (LNK) tai PDF-tiedostoiksi naamioituja suoritettavia tiedostoja. Asiakirjahoukuttimet on suunnattu erityisesti markkinointitehtäviin (yksi houkutin viittasi Marriottin markkinointityöhön) uskottavuuden lisäämiseksi aiottujen uhrien keskuudessa. Uhreja kannustetaan "esikatselemaan" tai lataamaan työkuvaus, mikä käynnistää monivaiheisen hyväksikäyttösekvenssin.

Infektioketjun eteneminen

ZIP-paketit sisältävät haitallisen LNK-komentosarjan, joka suorittaa upotetun PowerShell-skriptin. Tämä skripti ottaa yhteyttä ulkoiseen palvelimeen hakeakseen houkuttelevan PDF-tiedoston ja erillisen ZIP-nipun, joka sisältää XtraVieweriin (etätyöpöytäohjelmisto) liittyviä tiedostoja. XtraViewer-komponentit suoritetaan – todennäköisesti pysyvyyden tai etäkäytön muodostamiseksi – ja ketju jatkuu, kunnes Go-suoritettava tiedosto on otettu käyttöön.

Edge-uudelleenohjausten väärinkäyttö

Kampanjan keskeinen temppu on aloitussivu, joka näyttää tekaistun "selainta ei tueta" -virheen ja kehottaa uhreja kopioimaan URL-osoitteen ja avaamaan sen Microsoft Edgessä. Nykyaikaiset selaimet estävät usein skriptatut uudelleenohjaukset, joten hyökkääjät luottavat käyttäjän suostutteluun suorittamaan manuaalisen toiminnon (kopioi/liitä Edgeen), jota sitten käsitellään käyttäjän aloittamana ja joka sallii latausvirran jatkumisen. Kun sivu avataan Edgessä, se näyttää toisen tekaistun virheen, jossa väitetään, että PDF-tiedosto on pakattu ja "lähetetty laitteellesi", mikä käynnistää automaattisen ZIP-latauksen.

Hyötykuorman ja houkutuseläinten nimeämistemppu

Automaattisesti latautunut ZIP-tiedosto sisältää väitetyn työkuvauksen ja haitallisen suoritettavan tiedoston, joka on nimetty näyttämään PDF-tiedostolta (esimerkiksi 'Marriott_Marketing_Job_Description.pdf.exe'). Suoritettavassa tiedostossa on käytetty tiedostonimen täyttöä (ylimääräisiä välilyöntejä '.pdf'- ja '.exe'-osoitteiden välissä), joten se näyttää joissakin näkymissä PDF-tiedostolta, mikä lisää todennäköisyyttä, että uhrit suorittavat sen.

Vampire Botin ominaisuudet

Pudotettu suoritettava tiedosto on Golangin binääritiedosto nimeltä Vampire Bot. Sen havaittuihin ominaisuuksiin kuuluvat:

  • tartunnan saaneen isännän luettelointi ja profilointi,
  • laajan tietojoukon varastaminen (tunnistetietovarastot, tiedostot jne.)
  • ottaa kuvakaappauksia määritettävällä aikataululla,
    ja
  • ylläpitää komento- ja ohjausviestintää hyökkääjän palvelimen (raportoitu nimellä api3.samsungcareers.work) kanssa komentojen vastaanottamiseksi tai lisähyötykuormien lataamiseksi.

Attribuutio ja infrastruktuuri

Analyytikot yhdistävät tämän toiminnan Vietnamiin infrastruktuurin uudelleenkäytön – esimerkiksi aiemmin Vietnamiin kytköksissä oleviin operaattoreihin yhdistetyn IP-osoitteen (103.124.95.161) – ja kohdistusmallien perusteella. BatShadow on aiemmin kohdistanut hyökkäyksiä digitaalisen markkinoinnin ammattilaisiin ja toimii samoilla linjoilla muiden taloudellisesti motivoituneiden vietnamilaisten ryhmien kanssa, joiden tiedetään käyttävän Facebook-yritysten omaisuutta kaappaavia varastusohjelmia. Ryhmä näyttää olleen aktiivinen ainakin vuoden ja on aiemmin käyttänyt verkkotunnuksia, kuten samsung-work.com, levittääkseen haittaohjelmaperheitä, kuten Agent Tesla, Lumma Stealer ja Venom RAT, ja lokakuussa 2024 kampanjoita, joissa Quasar RAT levitettiin vastaavanlaisten ansojen sisältämien työkuvaustiedostojen kautta.

Miksi hyökkäys on tehokas?

BatShadow yhdistää toimialalle merkityksellisiä houkuttimia (markkinointityöpaikkailmoitukset), tiedostonimitemppuja, porrastettuja hyötykuormia (yksinkertaisen tiedostoskannauksen välttämiseksi) ja työnkulun, joka pakottaa manuaalisen selaimen toiminnon ohittamaan komentosarjojen uudelleenohjaussuojaukset. Tämä sosiaalisen manipuloinnin ja monivaiheisten teknisten vaiheiden yhdistelmä lisää onnistuneen tietomurron ja pitkäaikaisen käytön mahdollisuuksia.

Johtopäätös

BatShadowin kampanja korostaa kohdennetun sosiaalisen manipuloinnin tehokkuutta yhdistettynä vaiheittaiseen ja välttelevään tekniseen ketjuun. Organisaatioiden, jotka rekrytoivat usein tai käsittelevät hakijaliikennettä – sekä digitaalisen markkinoinnin ammattilaisten, jotka hallinnoivat verkkosisältöjä – tulisi tiukentaa sähköpostin/liitteiden käsittelyä, soveltaa tiukkoja toteutusrajoituksia ja käsitellä rekrytointityyppisiä liitteitä riskialttiina, kunnes ne on validoitu.

Trendaavat

Postilaatikkosi versio poistetaan käytöstä -huijaus

Tietojenkalastelu, Roskaposti
Verkkohuijarit kehittävät jatkuvasti uusia temppuja käyttäjien harhauttamiseksi ja arvokkaiden tietojen varastamiseksi. Yksi esimerkki tällaisesta huijauksesta on "Version Of Your Mailbox Will Be Discontinued" -huijaus, tietojenkalastelukampanja, jonka tarkoituksena on kerätä kirjautumistiedot tietämättömiltä uhreilta. Kyberturvallisuusasiantuntijat varoittavat, että näitä vilpillisiä viestejä...

Eniten katsottu

Ladataan...