Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér MixShell

Škodlivý softvér MixShell

Do roku Mezo v roku Malvér
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili sofistikovanú operáciu sociálneho inžinierstva s kódovým označením ZipLine, ktorá využíva nenápadný malvér v pamäti známy ako MixShell. Kampaň je zameraná predovšetkým na výrobné spoločnosti kritické pre dodávateľský reťazec a predstavuje rastúci trend útočníkov, ktorí zneužívajú dôveryhodné obchodné pracovné postupy namiesto tradičných phishingových metód.

Od kontaktných formulárov ku kompromisu

Na rozdiel od konvenčných phishingových útokov zasielaných prostredníctvom nevyžiadaných e-mailov, operátori spoločnosti ZipLine začínajú s útokmi prostredníctvom kontaktného formulára spoločnosti. Tento nenápadný prístup buduje dôveryhodnosť hneď od začiatku. Nasleduje niekoľkotýždňová výmena profesionálnej a presvedčivej komunikácie, často posilnenej vymyslenými dohodami o mlčanlivosti, predtým ako útočníci doručia škodlivý ZIP archív obsahujúci MixShell.

Táto trpezlivá taktika budovania dôvery odlišuje ZipLine od kampaní motivovaných zastrašovaním. V niektorých prípadoch útočníci dokonca zamerajú svoj prístup na iniciatívy riadené umelou inteligenciou a prezentujú sa ako partneri, ktorí môžu pomôcť znížiť náklady a zvýšiť efektivitu.

Kto je v hľadáčiku?

Cieľová skupina ZipLine je široká, ale zameriava sa na organizácie so sídlom v USA v odvetviach kritických pre dodávateľský reťazec. Medzi ďalšie postihnuté regióny patria Singapur, Japonsko a Švajčiarsko.

Medzi kľúčové cieľové sektory patria:

  • Priemyselná výroba (stroje, kovovýroba, komponenty, technické systémy)
  • Hardvér a polovodiče
  • Biotechnológia a farmaceutika
  • Výroba spotrebného tovaru

Útočníci tiež využívajú domény napodobňujúce spoločnosti s ručením obmedzeným registrované v USA, pričom niekedy preúčelujú domény legitímnych, ale neaktívnych podnikov. Tieto klonované webové stránky poukazujú na vysoko štruktúrovanú a rozsiahlu operáciu.

Anatómia útočného reťazca

Úspech ZipLine spočíva vo viacstupňovom infikovanom procese, ktorý je navrhnutý pre nenápadnosť a vytrvalosť. ZIP archívy, ktoré sú takto premenené na zbraň, sú zvyčajne hostované na Herokuapp.com, čo je legitímna cloudová služba, čo pomáha malvéru začleniť sa do bežnej sieťovej aktivity.

Infekčný proces zahŕňa:

  • Skratka systému Windows (LNK) vo vnútri súboru ZIP spúšťa zavádzač prostredia PowerShell.
  • Zavádzač nasadí MixShell, vlastný implantát spustený výlučne v pamäti.
  • MixShell komunikuje prostredníctvom DNS tunelovania (s HTTP fallbackom), čo umožňuje vzdialené vykonávanie príkazov, manipuláciu so súbormi, reverzné proxy, perzistenciu a infiltráciu siete.
  • Niektoré verzie obsahujú techniky proti ladeniu a obchádzaniu sandboxu spolu s plánovanými úlohami na udržanie perzistencie.
  • Je pozoruhodné, že súbor LNK tiež spúšťa návnadový dokument, čím ďalej maskuje škodlivé správanie.

Odkazy na predchádzajúcu aktivitu s hrozbami

Výskumníci identifikovali prekrývania medzi digitálnymi certifikátmi používanými v infraštruktúre ZipLine a certifikátmi spojenými s útokmi TransferLoader pripisovanými skupine hrozeb s názvom UNK_GreenSec. Hoci pripisovanie zostáva neisté, toto prepojenie naznačuje dobre organizovaného a vynaliezavého aktéra s predchádzajúcimi skúsenosťami s rozsiahlymi kampaňami.

Riziká kampane ZipLine

Dôsledky úspešnej infekcie MixShell môžu byť závažné, od krádeže duševného vlastníctva a kompromitácie obchodných e-mailov až po incidenty ransomvéru a narušenie dodávateľského reťazca. Vzhľadom na povahu cieľových odvetví by sa dopad mohol rozšíriť z jednotlivých spoločností na celé produkčné ekosystémy.

Obranné opatrenia: Ako si udržať náskok pred sociálne vytvorenými hrozbami

Kampaň ZipLine zdôrazňuje, ako kyberzločinci inovujú, využívajú ľudskú psychológiu, dôveryhodné komunikačné kanály a témy súvisiace s umelou inteligenciou na zneužívanie dôvery.

Aby organizácie čelili takýmto hrozbám, musia:

  • Prijmite obranu zameranú na prevenciu, ktorá dokáže odhaliť anomálne správanie.
  • Vyškoľte zamestnancov, aby ku každému prichádzajúcemu dopytu pristupovali so skepticizmom, bez ohľadu na použitý kanál.
  • Dodržujte prísne pravidlá pre manipuláciu so súbormi, najmä v prípade ZIP archívov a súborov skratiek.
  • Posilniť monitorovanie anomálií v komunikácii založených na DNS, ktoré môžu naznačovať tunelovanie.

Budovanie kultúry ostražitosti je kľúčové. Dôvera, akonáhle sa stane zbraňou, sa stáva jedným z najúčinnejších nástrojov v arzenáli útočníka.

Trendy

Zásielka bola vytvorená pomocou podvodného e-mailu...

Phishing, Spam
Phishingové kampane naďalej zneužívajú dôveru, ktorú ľudia vkladajú do známych spoločností. Jednou z takýchto schém, ktorá koluje, je e-mailový podvod s názvom „Zásielka bola vytvorená pomocou DHL Express“. Hoci tieto správy predstierajú, že pochádzajú od globálneho logistického poskytovateľa DHL, nijako nesúvisia s legitímnou spoločnosťou. Namiesto toho sú to starostlivo vytvorené návnady...

Najviac videné

Načítava...