MINEBRIDGE RAT

Атаки, нацеленные на исследователей безопасности, становятся все популярнее среди киберпреступников. Одна из групп угроз, которая, как полагают, начала проводить такие атаки, - это TA505 . Факты указывают на то, что TA505 был активен по крайней мере с 2014 года. Группа известна тем, что в своей деятельности использует рейтинг MINEBRIDGE RAT.

В последней кампании используется многоступенчатая цепочка атак, которая в конечном итоге развертывает MINEBRIDGE RAT на целевой компьютерной системе. Хакеры заманивают своих жертв поддельными резюме о работе (CV) в форме документов Word на основе макросов. При запуске вредоносный файл отображает подтверждающее сообщение - «Файл успешно преобразован из PDF» и показывает резюме работы, которое якобы было отправлено аналитиком по анализу угроз. Однако это всего лишь уловка, предназначенная для того, чтобы отвлечь внимание жертвы от основного макрокода, который создает командную строку в фоновом режиме, способную извлекать закодированный контент с указанного IP-адреса. Загруженный самораспаковывающийся архив (SFX) будет помещен в папку пользователя% appdata%.

Сложная многоступенчатая атака приносит MINEBRIDGE RAT

Файл SFX представляет собой первый этап цепочки атаки MINEBRIDGE RAT. Он выполняется через certutil.exe и приводит к тому, что в скомпрометированную систему попадают легитимные двоичные файлы TeamViewer, несколько файлов DLL и дополнительные файлы документов. Один из поставленных двоичных файлов с именем defrender.exe отвечает за запуск следующего этапа атаки. Следует отметить, что двоичный файл разработан, чтобы выглядеть как законный двоичный файл Защитника Windows.

Этап 2 атаки включает выполнение приложения TeamViewer, которое затем принудительно выполняет загрузку со стороны DLL. Он загружает предоставленный файл msi.dll, который, в свою очередь, распаковывает шелл-код и выполняет его. Задача шеллкода - доставить упакованный UPX двоичный файл конечной полезной нагрузки - MINEBRIDGE RAT.

При полном развертывании угроза позволяет злоумышленникам выполнять широкий спектр вредоносных действий. Они могут шпионить за скомпрометированными пользователями, а также развертывать дополнительные вредоносные программы. MINEBRIDGE RAT создает три отдельных угрозы, каждая из которых имеет свою ответственность:

Установление связи C&C и развертывание механизма сохраняемости
Проверка состояния бездействия системы путем отслеживания времени последнего ввода
Избегайте случайных всплывающих окон уведомлений, убивая процесс ShowNotificationDialog

Механизм сохранения угрозы достигается за счет файла LNK с именем «Windows Logon.lnk», который помещается в каталог запуска системы.