MINEBRIDGE RAT

Gli attacchi mirati ai ricercatori sulla sicurezza sembrano aumentare la popolarità tra i criminali informatici. Un gruppo di minacce che si ritiene abbia iniziato a condurre tali attacchi è TA505. Le prove indicano che TA505 è attivo almeno dal 2014. Il gruppo è noto per sfruttare il MINEBRIDGE RAT nelle sue operazioni.

L'ultima campagna impiega una catena di attacchi in più fasi che alla fine distribuisce il MINEBRIDGE RAT sul sistema informatico mirato. Gli hacker attirano le loro vittime con falsi curriculum di lavoro (CV) sotto forma di documenti Word basati su macro. Quando viene eseguito, il file dannoso visualizza un messaggio di conferma: "File convertito correttamente da PDF" e mostra un curriculum di lavoro presumibilmente inviato da un analista di intelligence sulle minacce. Questo è solo un richiamo, tuttavia, progettato per attirare l'attenzione della vittima lontano dal codice macro sottostante che costruisce una riga di comando in background in grado di recuperare contenuto codificato da un indirizzo IP specificato. L'archivio autoestraente (SFX) scaricato verrà rilasciato nella cartella% appdata% dell'utente.

Un attacco complesso in più fasi fornisce MINEBRIDGE RAT

Il file SFX rappresenta la prima fase della catena di attacchi RAT MINEBRIDGE. Viene eseguito tramite certutil.exe e si traduce in binari TeamViewer legittimi, diversi file DLL e file di documenti aggiuntivi che vengono rilasciati nel sistema compromesso. Uno dei file binari forniti, denominato "defrender.exe", è responsabile dell'avvio della fase successiva dell'attacco. Va notato che il binario è progettato per apparire come un binario legittimo di Windows Defender.

La fase 2 dell'attacco include l'esecuzione dell'applicazione TeamViewer che viene quindi costretta a eseguire il caricamento laterale della DLL. Carica il file msi.dll fornito che a sua volta decomprime lo shellcode e lo esegue. Lo shellcode ha il compito di fornire il binario contenuto in UPX del payload finale - MINEBRIDGE RAT.

Quando è completamente implementata, la minaccia consente agli aggressori di eseguire un'ampia gamma di attività dannose. Possono spiare gli utenti compromessi e distribuire payload aggiuntivi di malware. MINEBRIDGE RAT crea tre minacce separate, ognuna con una responsabilità diversa:

Stabilire la comunicazione C&C e implementare il meccanismo di persistenza
Verifica dello stato di inattività del sistema monitorando la temporizzazione dell'ultimo ingresso
Evitare popup di notifiche accidentali interrompendo il processo ShowNotificationDialog

Il meccanismo di persistenza della minaccia si ottiene tramite un file LNK denominato "Windows Logon.lnk" che viene rilasciato nella directory di avvio del sistema.

Tendenza

I più visti

Caricamento in corso...