„Vampire Bot“ kenkėjiška programa
Vietnamiškai kalbantis grėsmės veikėjas, atsektas kaip „BatShadow“, vykdo tikslinę kampaniją, kuria vilioja darbo ieškančius asmenis ir skaitmeninės rinkodaros specialistus įdiegti anksčiau nedokumentuotą „Go“ pagrindu veikiančią kenkėjišką programą, kurią tyrėjai vadina „Vampire Bot“. Grupė apsimetinėja įdarbintojais ir platina, regis, teisėtus pareigybių aprašymus bei įmonių PDF failus, su kuriais sąveikaujant suveikia daugiapakopė užkrėtimo grandinė ir suteikiamos nuotolinio stebėjimo bei duomenų vagystės galimybės.
Turinys
Socialinė inžinerija ir masalų pristatymas
Užpuolikai kuria verbavimo stiliaus žinutes ir ZIP priedus, kuriuose yra masalų PDF failai kartu su kenkėjiškomis nuorodomis (LNK) arba vykdomaisiais failais, užmaskuotais kaip PDF failai. Dokumentų jaukai yra specialiai skirti rinkodaros pareigoms (vienas jaukas nurodė „Marriott“ rinkodaros darbą), siekiant padidinti patikimumą numatytų aukų akyse. Aukos raginamos „peržiūrėti“ arba atsisiųsti darbo aprašymą, kuris pradeda kelių etapų išnaudojimo seką.
Infekcijos grandinės progresavimas
ZIP paketuose yra kenkėjiškas LNK, kuris paleidžia įterptąjį „PowerShell“ skriptą. Šis skriptas susisiekia su išoriniu serveriu, kad gautų PDF failą su viliojančiu failu ir atskirą ZIP paketą, kuriame yra su „XtraViewer“ (nuotolinio darbalaukio programine įranga) susiję failai. Vykdomi „XtraViewer“ komponentai – tikėtina, kad užmezgamas nuolatinis ryšys arba nuotolinė prieiga – ir grandinė tęsiasi tol, kol diegiamas vykdomasis failas „Go“.
Piktnaudžiavimas peradresavimais per kraštus
Pagrindinis kampanijos triukas – nukreipimo puslapis, kuriame rodoma netikra klaida „nepalaikoma naršyklė“ ir nurodoma aukoms nukopijuoti URL adresą ir atidaryti jį „Microsoft Edge“. Šiuolaikinės naršyklės dažnai blokuoja scenarijaus pagrindu sukurtus peradresavimus, todėl užpuolikai pasikliauja tuo, kad įtikina vartotoją atlikti rankinį veiksmą (kopijuoti / įklijuoti į „Edge“), kuris vėliau laikomas vartotojo inicijuotu ir leidžia tęsti atsisiuntimo procesą. Atidarius puslapį „Edge“, jame rodoma kita netikra klaida, teigianti, kad PDF buvo suspaustas ir „išsiųstas į jūsų įrenginį“, o tai suaktyvina automatinį ZIP atsisiuntimą.
Naudingojo krovinio ir jauko pavadinimo gudrybė
Automatiškai atsisiųstame ZIP faile yra tariamas darbo aprašymas ir kenkėjiškas vykdomasis failas, pavadintas taip, kad atrodytų kaip PDF failas (pvz., „Marriott_Marketing_Job_Description.pdf.exe“). Vykdomajame faile naudojami papildomi tarpai tarp „.pdf“ ir „.exe“, todėl kai kuriuose rodiniuose jis atrodo kaip PDF failas, todėl padidėja tikimybė, kad aukos jį paleis.
Vampyrų roboto galimybės
Išskleistas vykdomasis failas yra „Golang“ dvejetainis failas, pramintas „Vampire Bot“. Stebimos jo galimybės apima:
- užkrėsto šeimininko išvardijimas ir profiliavimas,
ir
Priskyrimas ir infrastruktūra
Analitikai šią veiklą sieja su Vietnamu, remdamiesi infrastruktūros pakartotiniu naudojimu, pavyzdžiui, IP adresu (103.124.95.161), anksčiau siejamu su su Vietnamu susijusiais operatoriais, ir taikinių modeliais. „BatShadow“ anksčiau yra taikiusis į skaitmeninės rinkodaros specialistus ir jos veikla sutampa su kitomis finansiškai motyvuotomis Vietnamo grupuotėmis, kurios, kaip žinoma, naudoja vagystes, kurios užgrobia „Facebook“ verslo turtą. Atrodo, kad grupė veikė mažiausiai metus ir anksčiau naudojo tokius domenus kaip samsung-work.com, kad platintų kenkėjiškų programų šeimas, įskaitant „Agent Tesla“, „Lumma Stealer“, „Venom RAT“, o 2024 m. spalį – kampanijas, kuriomis platino „Quasar RAT“ per panašiai užminuotus pareigybių aprašymo failus.
Kodėl ataka efektyvi?
„BatShadow“ apjungia su pramone susijusius masalus (rinkodaros darbo skelbimus), failų pavadinimų gudrybes, etapais valdomą turinį (siekiant išvengti paprasto failų nuskaitymo) ir srautą, kuris priverčia naršyklę rankiniu būdu atlikti veiksmą, kad būtų apeita scenarijaus pagrindu sukurta peradresavimo apsauga. Šis socialinės inžinerijos ir daugiapakopių techninių veiksmų derinys padidina sėkmingo įsilaužimo ir ilgalaikės prieigos tikimybę.
Išvada
„BatShadow“ kampanija pabrėžia, kokia efektyvi yra tikslinė socialinė inžinerija, kai ji derinama su etapine, vengiančia technine grandine. Organizacijos, kurios dažnai samdo arba tvarko kandidatų srautą, ir skaitmeninės rinkodaros specialistai, valdantys internetinį turinį, turėtų sustiprinti laiškų / priedų tvarkymą, taikyti griežtą vykdymo kontrolę ir laikyti įdarbinimo stiliaus priedus didelės rizikos, kol jie nebus patvirtinti.
