Złośliwe oprogramowanie TEARDROP

Do Mezo w Malware, Remote Administration Tools, Trojan Downloader

Przetłumacz na:

TEARDROP to jedno z zagrożeń złośliwym oprogramowaniem wykorzystywanych w ataku łańcucha dostaw na platformę Orion firmy Solarwind. Aktor zagrażający uwolnił mnóstwo różnych groźnych narzędzi, zgodnie z określonymi celami operacji i konkretnym zainfekowanym celem. Nigdy wcześniej nie widziane złośliwe oprogramowanie TEARDROP działało jako dropper drugiego etapu, którego zadaniem było dostarczenie ładunku następnego etapu - Cobalt Strike Beacon Implant (wersja 4). Należy zauważyć, że Cobalt Strike jest legalnym narzędziem zdalnego dostępu zaprojektowanym do użytku w testach penetracyjnych. Jednak jego ogromny zestaw potężnych funkcji sprawił, że stał się popularnym elementem arsenału wielu grup hakerów. Cobalt Strike umożliwia potencjalnemu podmiotowi zagrażającemu uzyskanie niemal pełnej kontroli nad zaatakowanym systemem. RAT (Remote Access Tool) może otrzymać polecenie ustanowienia procedur keyloggera, wykonywania dowolnych ujęć w systemie, dostarczania dodatkowych szkodliwych ładunków, manipulowania systemem plików i eksfiltracji wybranych poufnych danych na zdalne serwery przez zaszyfrowane tunele.

Struktura złośliwego oprogramowania TEARDROP

Dropper TEARDROP to groźna 64-bitowa biblioteka dołączana dynamicznie (DLL), która działa całkowicie w pamięci bez zapisywania żadnych plików na dysku. Działa jako usługa, tworzy wątek i odczytuje pierwsze 64 bajty pliku o nazwie „ festive_computer.jpg ". Dane nie są do niczego potrzebne, a zagrożenie będzie kontynuowane nawet bez pliku „festive_computer.jpg ". Rzeczywista nazwa pliku może się różnić, ponieważ niektórzy badacze systemów informacyjnych wykryli inne wersje, takie jak „ gracious_truth.jpg ".

Następnym krokiem złośliwego oprogramowania TEARDROP jest sprawdzenie obecności HKU \ SOFTWARE \ Microsoft \ CTF i zdekodowanie wbudowanego ładunku sygnału nawigacyjnego Cobalt Strike za pomocą niestandardowego algorytmu XOR. Na koniec dropper ładuje osadzony ładunek do pamięci w niestandardowym formacie podobnym do PE.

TEARDROP jest blisko spokrewniony z inną rodziną dropperów obserwowaną w tym samym ataku łańcucha dostaw o nazwie Raindrop. Te dwa zagrożenia mają identyczne funkcje i w znacznym stopniu pokrywają się wirtualnie, a ponadto wykazują pewne kluczowe różnice. Największą różnicą między tymi dwiema rodzinami złośliwego oprogramowania jest użycie innego programu pakującego dla Raindrop .

Szukaj

Zmieniać region

Złośliwe oprogramowanie TEARDROP

Prześlij komentarz

Popularne

Safe Search Eng

MarioLocker Ransomware

Moja tapeta

Najczęściej oglądane

Czy Lookmovie.io jest bezpieczny?

Jak naprawić błąd „Sterownik drukarki jest niedostępny”

Discord pokazuje czarny ekran podczas udostępniania...