DarkMe ļaunprātīga programmatūra

Nesen atklāto Microsoft Defender SmartScreen drošības ievainojamību kā nulles dienu izmantojusi uzlabota pastāvīgu apdraudējumu grupa, kas pazīstama kā Water Hydra, kas identificēta arī kā DarkCasino. Šī uzbrukuma primārie mērķi ir personas, kas iesaistītas finanšu tirgus tirdzniecībā. Pētnieki atklāja šo ļaunprātīgo kampaņu 2023. gada decembrī.

Uzbrucēji izmanto CVE-2024-21412, drošības apiešanas ievainojamību, kas saistīta ar interneta saīsnes failiem (.URL). Uzbrukuma secībā draudu izpildītājs izmanto CVE-2024-21412, lai apietu Microsoft Defender SmartScreen un ieviestu ļaunprogrammatūru DarkMe, lai inficētu nenojaušos upurus.

Kopš tā laika Microsoft ir novērsusi šo ievainojamību savā februāra ielāpu otrdienas atjauninājumā. Pēc uzņēmuma domām, neautentificēts hakeris varētu izmantot šo trūkumu, nosūtot īpaši izveidotu failu mērķa lietotājam, ļaujot viņam apiet drošības pārbaudes. Tomēr izmantošanas panākumi ir atkarīgi no tā, vai draudu izpildītājs pārliecina upuri noklikšķināt uz faila saites un skatīt uzbrucēja kontrolēto saturu.

DarkMe ļaunprogrammatūra tiek izvietota, izmantojot daudzpakāpju uzbrukuma ķēdi

DarkMe demonstrē iespēju ne tikai lejupielādēt un izpildīt papildu instrukcijas, bet arī reģistrēties Command-and-Control (C2) serverī un apkopot informāciju no apdraudētās sistēmas.

Novērotā inficēšanās procesa laikā tiek izmantota CVE-2024-21412 izmantošana, lai izvietotu kaitīgu instalēšanas failu ('7z.msi'). Tas tiek panākts, mudinot upurus noklikšķināt uz slazdā esoša URL ('fxbulls.ru'), kas tiek izplatīts forex tirdzniecības forumos. Lure tiek prezentēta aizsegā, lai kopīgotu saiti uz akciju diagrammas attēlu. Tomēr faktiskais saites saturs ir interneta saīsnes fails ('photo_2023-12-29.jpg.url').

Vietnes fxbulls.ru galvenajā lapā ir saite, kas ved uz apdraudošu WebDAV kopīgošanu ar rūpīgi izstrādātu filtrētu skatu. Kad lietotāji noklikšķina uz šīs saites, pārlūkprogramma piedāvā to atvērt programmā Windows Explorer. Jo īpaši tas neizraisa drošības uzvedni, kas, iespējams, liek lietotājam aizmirst par saites nedrošo raksturu.

Ievērības cienīgs šīs shēmas aspekts ir tas, ka draudu dalībnieks izmanto meklēšanas lietojumprogrammas protokolu, ko parasti izmanto, lai izsauktu darbvirsmas meklēšanas lietojumprogrammu operētājsistēmā Windows. Šis protokols agrāk tika ļaunprātīgi izmantots ļaunprātīgas programmatūras piegādei. Aktiera gudrā manipulācija ar šo protokolu infekcijas procesam pievieno papildu maldināšanas slāni.

APT (Advanced Persistent Threat) grupas bieži izmanto nulles dienas ievainojamības

Šī atšķirīgā pieeja atsaucēm, ko izmanto DarkMe infekcijas ķēdē, rodas no saīsnes izmantošanas citā saīsnē, kas ir izrādījusies efektīva SmartScreen apiešanā. Šajā gadījumā SmartScreen neizdodas atbilstoši lietot Web Mark of the (MotW) — būtisku Windows komponentu, kas paredzēts, lai brīdinātu lietotājus, atverot vai palaižot failus no neuzticamiem avotiem.

Šīs kampaņas galvenais mērķis ir fonā slepus piegādāt Visual Basic Trojas zirgu, kas pazīstams kā DarkMe. Vienlaikus kampaņa saglabā maldinošu fasādi, upurim parādot krājuma grafiku, slēpjot ekspluatācijas un infekcijas ķēdes patieso būtību.

Zīmīgi, ka jaunatklātās nulles dienas ievainojamības, ko bieži identificē kibernoziedzības grupas, var nonākt nacionālo valstu hakeru grupu arsenālos. Šiem izsmalcinātajiem uzbrucējiem, piemēram, Water Hydra, ir tehniskās zināšanas un rīki, kas nepieciešami, lai atklātu un izmantotu nulles dienas ievainojamības uzlabotajās kampaņās. Tas viņiem ļauj izvietot ļoti destruktīvu ļaunprātīgu programmatūru, piemēram, DarkMe, demonstrējot savu spēju veikt sarežģītus un spēcīgus uzbrukumus.