TEARDROP Malware

Por Mezo em Malware, Remote Administration Tools, Trojan Downloader

Traduzir Para:

O TEARDROP é uma das ameaças de malware alavancadas no ataque à cadeia de suprimentos contra a plataforma Orion da Solarwind. O autor da ameaça desencadeou uma série de diferentes ferramentas ameaçadoras de acordo com os objetivos específicos da operação e o alvo infectado em particular. O malware TEARDROP, nunca antes visto, agiu como um dropper de segundo estágio, encarregado de entregar uma carga útil de estágio seguinte - o Cobalt Strike Beacon Implant (Versão 4). Deve-se notar que o Cobalt Strike é uma legítima ferramenta de acesso remoto, projetada para ser usada em testes de penetração. No entanto, o seu vasto conjunto de funções potentes o tornaram um acessório popular no arsenal de vários grupos de hackers. O Cobalt Strike permite que um agente de ameaça em potencial estabeleça controle quase total sobre o sistema comprometido. O RAT (ferramenta de acesso remoto) pode ser comandado para estabelecer rotinas de keylogging, tirar fotos arbitrárias do sistema, entregar cargas adicionais prejudiciais, manipular o sistema de arquivos e exfiltrar dados confidenciais selecionados para servidores remotos por meio de túneis criptografados.

Estrutura do Malware TEARDROP

O dropper do TEARDROP é uma ameaçadora biblioteca de vínculo dinâmico (DLL) de 64 bits que opera inteiramente na memória, sem gravar nenhum arquivo no disco. Ele é executado como um serviço, gera um thread e lê os primeiros 64 bytes de um arquivo chamado ' festivo_computador.jpg .' Os dados não são necessários para nada e a ameaça continuará com suas operações mesmo sem o arquivo ' festivo_computador.jpg'. O nome real do arquivo pode variar, pois alguns pesquisadores de infosec detectaram outras versões, tais como ' gracious_truth.jpg .'

A próxima etapa do malware TEARDROP é verificar a presença de HKU\SOFTWARE\Microsoft\CTF e decodificar a carga útil do Cobalt Strike por meio de um algoritmo XOR personalizado. Por fim, o dropper carrega a carga útil incorporada na memória por meio de um formato semelhante ao PE personalizado.

O TEARDROP está intimamente relacionado a outra família de droppers observada no mesmo ataque à cadeia de suprimentos, chamada Raindrop. As duas ameaças têm funcionalidades idênticas e sobreposições significativas virtualmente, e apresentam algumas diferenças importantes. O maior fator de distinção entre as duas famílias de malware é o uso de um empacotador diferente para o Raindrop.

Buscar

Mudar de região

TEARDROP Malware

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela