Licencje na wiele urządzeń (rabaty zbiorcze)

Zmieniać region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Trojan Downloader SkinnyBoy Malware

SkinnyBoy Malware

Do CagedTech w Trojan Downloader
Przetłumacz na:
Polski

Eksperci Infosec z firmy zajmującej się badaniem zagrożeń Cluster 25 odkryli nową kampanię typu spear-phishing wymierzoną w strategiczne podmioty. W ramach łańcucha ataków badacze wykryli nowe zagrożenie złośliwym oprogramowaniem, które działało jako średniozaawansowany downloader, którego zadaniem było dostarczenie ostatecznego groźnego ładunku do złamanych systemów. Szkodliwe oprogramowanie o nazwie SkinnyBoy zostało uznane za część szkodliwego arsenału rosyjskojęzycznego gangu APT28. Ten szczególny aktor-groźnik występuje również pod nazwami Fancybear, Sednit, Strontium, PwnStorm i Sofacy.

Charakterystyka SkinnyBoya

Atak SkinnyBoy zaczyna się od dostarczenia wiadomości e-mail z przynętą i phishingiem. Ofiary otrzymują fałszywe zaproszenie na międzynarodowe wydarzenie naukowe, które rzekomo odbędzie się w Hiszpanii pod koniec lipca. Do wiadomości e-mail dołączony jest uzbrojony dokument Microsoft zawierający uszkodzone makro. Po aktywacji makro wyodrębnia narzędzie do pobierania złośliwego oprogramowania w postaci pliku DLL.

SkinnyBoy jest dostarczany obok zainfekowanego systemu. Zagrożenie pojawia się w postaci pliku o nazwie „tpd1.exe". Po zainicjowaniu SkinnyBoy próbuje ustanowić mechanizm trwałości, tworząc plik LNK w folderze startowym systemu Windows. Za każdym razem, gdy skompromitowany system zostanie ponownie uruchomiony, LNK zostanie uruchomiony i zacznie szukać głównego pliku ładunku SkinnyBoy „TermSrvClt.dll". Czyni to, skanując skrót SHA256 każdego pliku przechowywanego w lokalizacji C:\Users\%username%\AppData\Local.

Podstawowym zadaniem wykonywanym przez SkinnyBoy jest dostarczenie ostatecznej zawartości do zainfekowanych systemów. Jednak zagrożenie, które jest obecne w systemie, będzie również zbierać określone informacje, wykorzystując narzędzia systemu Windows „syteminfo.exe" i „tasklist.exe". Dane zbierane są z następujących plików i lokalizacji:

  • C:\Użytkownicy\%nazwa użytkownika%\Pulpit
  • C:\Program Files - C:\Program Files (x86)
  • C:\Użytkownicy\%nazwa użytkownika%\AppData\Roaming\Microsoft\Windows\Menu Start\Programy\Narzędzia administracyjne
  • C:\Użytkownicy\%nazwa użytkownika%\AppData\Roaming
  • C:\Użytkownicy\%nazwa użytkownika%\AppData\Roaming\Microsoft\Windows\Szablony
  • C:\Windows - C:\Użytkownicy\użytkownik\AppData\Local\Temp

Informacje zebrane przez SkinnyBoy są następnie porządkowane, zakodowane w formacie base64 i eksportowane na serwery Command-and-Control operacji.

Ofiary Chudego Chłopca

Szkodliwe oprogramowanie SkinnyBoy zostało do tej pory wdrożone przeciwko dużej grupie potencjalnych ofiar. Wydaje się, że APT28 atakuje głównie agencje rządowe, takie jak ministerstwa spraw zagranicznych, podmioty przemysłu obronnego, ambasady i organizacje sektora wojskowego. Chociaż kilka ofiar znajdowało się w Unii Europejskiej, APT28 może działać na większą skalę, a atak może mieć wpływ również na organizacje amerykańskie.

Popularne

Najczęściej oglądane

Ładowanie...