Vairāku licenču atlaides piedāvājums
Draudu datu bāze Advanced Persistent Threat (APT) Vampire Bot ļaunprogrammatūra

Vampire Bot ļaunprogrammatūra

Līdz Mezo. gadam Advanced Persistent Threat (APT), Ļaunprātīga programmatūra. gadā
Tulkot uz:

Vjetnamiešu valodā runājošs apdraudējumu izpildītājs, kas tiek izsekots kā BatShadow, vada mērķtiecīgu kampaņu, kas pievilina darba meklētājus un digitālā mārketinga speciālistus instalēt iepriekš nedokumentētu Go balstītu ļaunprogrammatūru, ko pētnieki dēvē par Vampire Bot. Grupa uzdodas par vervētājiem un izplata šķietami likumīgus darba pienākumu aprakstus un korporatīvus PDF failus, kas, mijiedarbojoties ar tiem, aktivizē daudzpakāpju inficēšanas ķēdi un nodrošina attālinātas uzraudzības un datu zādzības iespējas.

Sociālā inženierija un ēsmu piegāde

Uzbrucēji izstrādā vervēšanas stila ziņojumus un ZIP pielikumus, kas satur mānošus PDF failus līdzās ļaunprātīgām saīsnēm (LNK) vai izpildāmiem failiem, kas maskēti kā PDF faili. Dokumentu ēsmas ir īpaši paredzētas mārketinga amatiem (viena ēsma atsaucās uz Marriott mārketinga darbu), lai palielinātu uzticamību paredzēto upuru acīs. Cietušie tiek mudināti “priekšskatīt” vai lejupielādēt darba aprakstu, kas sāk daudzpakāpju ekspluatācijas secību.

Infekcijas ķēdes progresēšana

ZIP pakotnēs ir iekļauts ļaunprātīgs LNK fails, kas palaiž iegultu PowerShell skriptu. Šis skripts sazinās ar ārēju serveri, lai ielādētu viltus PDF failu un atsevišķu ZIP paketi, kurā ir faili, kas saistīti ar XtraViewer (attālās darbvirsmas programmatūru). Tiek izpildīti XtraViewer komponenti — visticamāk, lai izveidotu pastāvīgu piekļuvi vai attālo piekļuvi —, un ķēde turpinās, līdz tiek izvietots Go izpildāmais fails.

Ļaunprātīga Edge pāradresācija

Kampaņas galvenais triks ir nosēšanās lapa, kurā tiek parādīta viltota kļūda “neatbalstīta pārlūkprogramma” un tiek lūgts upuriem kopēt URL un atvērt to pārlūkprogrammā Microsoft Edge. Mūsdienu pārlūkprogrammas bieži bloķē skriptētas pāradresācijas, tāpēc uzbrucēji paļaujas uz lietotāja pārliecināšanu veikt manuālu darbību (kopēt/ielīmēt pārlūkprogrammā Edge), kas pēc tam tiek uzskatīta par lietotāja uzsāktu un ļauj turpināt lejupielādes plūsmu. Pēc lapas atvēršanas pārlūkprogrammā Edge tiek parādīta vēl viena viltota kļūda, apgalvojot, ka PDF fails ir saspiests un “nosūtīts uz jūsu ierīci”, kas aktivizē automātisku ZIP lejupielādi.

Derīgās slodzes un mānekļa nosaukšanas triks

Automātiski lejupielādētajā ZIP failā ir ietverts iespējamais darba apraksts un ļaunprātīgs izpildāmais fails, kas nosaukts tā, lai izskatītos kā PDF fails (piemēram, “Marriott_Marketing_Job_Description.pdf.exe”). Izpildāmajā failā tiek izmantota faila nosaukuma papildināšana (papildu atstarpes starp “.pdf” un “.exe”), tāpēc dažos skatos tas izskatās kā PDF fails, palielinot iespējamību, ka upuri to palaidīs.

Vampīru robota iespējas

Izmests izpildāmais fails ir Golang binārais fails ar nosaukumu Vampire Bot. Tā novērotās iespējas ietver:

  • inficētā saimnieka uzskaitīšana un profilēšana,
  • plaša datu kopuma (akreditācijas datu krātuvju, failu utt.) zādzība,
  • ekrānuzņēmumu uzņemšana pēc konfigurējama grafika,
    un
  • uztur komandu un vadības saziņu ar uzbrucēja serveri (ziņots kā api3.samsungcareers.work), lai saņemtu komandas vai lejupielādētu papildu vērtumus.

Atribūcija un infrastruktūra

Analītiķi saista šo darbību ar Vjetnamu, pamatojoties uz infrastruktūras atkārtotu izmantošanu — piemēram, IP adresi (103.124.95.161), kas iepriekš bija saistīta ar ar Vjetnamu saistītiem operatoriem, — un mērķauditorijas atlases modeļiem. BatShadow iepriekš ir uzdūries digitālā mārketinga profesionāļiem un pārklājas ar citām finansiāli motivētām Vjetnamas grupām, kas zināmas ar tādu ļaunprogrammatūru izmantošanu, kas nozog Facebook biznesa aktīvus. Šķiet, ka grupa ir aktīva vismaz gadu un iepriekš ir izmantojusi tādus domēnus kā samsung-work.com, lai izplatītu ļaunprogrammatūru saimes, tostarp Agent Tesla, Lumma Stealer, Venom RAT, un 2024. gada oktobrī kampaņas, kas izplatīja Quasar RAT, izmantojot līdzīgi lamatās ievietotus darba apraksta failus.

Kāpēc uzbrukums ir efektīvs?

BatShadow apvieno nozarei atbilstošus ēsmas paņēmienus (mārketinga darba sludinājumus), failu nosaukumu trikus, pakāpeniskas slodzes (lai izvairītos no vienkāršas failu skenēšanas) un plūsmu, kas piespiež manuāli veikt pārlūkprogrammas darbību, lai apietu skriptētu pāradresācijas aizsardzību. Šis sociālās inženierijas un daudzpakāpju tehnisko darbību apvienojums palielina veiksmīgas kompromitēšanas un ilgtermiņa piekļuves iespējas.

Secinājums

BatShadow kampaņa uzsver, cik efektīva ir mērķtiecīga sociālā inženierija, ja tā tiek apvienota ar pakāpenisku, izvairīgu tehnisko ķēdi. Organizācijām, kas bieži pieņem darbā vai apstrādā pretendentu plūsmu, kā arī digitālā mārketinga speciālistiem, kas pārvalda tiešsaistes resursus, vajadzētu pastiprināt pasta/pielikumu apstrādi, piemērot stingru izpildes kontroli un izturēties pret darbā pieņemšanas stila pielikumiem kā pret augsta riska pielikumiem, līdz tie tiek apstiprināti.

Tendences

Jūsu pastkastes versijas darbība tiks pārtraukta...

Pikšķerēšana, Mēstules
Tiešsaistes krāpnieki nepārtraukti izstrādā jaunus trikus, lai maldinātu lietotājus un nozagtu vērtīgus datus. Viens šāds piemērs ir krāpniecība “Jūsu pastkastes versija tiks pārtraukta” — pikšķerēšanas kampaņa, kuras mērķis ir iegūt pieteikšanās datus no neko nenojaušošiem upuriem. Kiberdrošības eksperti brīdina, ka šie krāpnieciskie ziņojumi nav saistīti ar likumīgiem uzņēmumiem,...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
33,974
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...