Popust za več licenc
Podjetje o grožnjah Orodja za oddaljeno upravljanje Kampanja z dvojnim nalaganjem zlonamerne programske opreme

Kampanja z dvojnim nalaganjem zlonamerne programske opreme

Do leta Mezo leta Orodja za oddaljeno upravljanje, Adware
Prevedi v:

Novo odkrita kampanja zlonamerne programske opreme priteguje veliko pozornosti skupnosti za kibernetsko varnost zaradi svoje sposobnosti hkratne uporabe dveh različnih groženj. Za prenos Gh0st RAT in CloverPlus na isti ogroženi sistem se uporablja en sam prikrit nalagalnik.

Ta kombinacija je nenavadna in zelo strateška. Gh0st RAT omogoča popoln oddaljeni nadzor nad okuženim računalnikom, medtem ko se CloverPlus osredotoča na manipuliranje z dejavnostjo brskalnika, vbrizgavanje oglaševalskih komponent in ustvarjanje prihodka prek vsiljivih pojavnih oken. Dvojna namestitev akterjem grozečih virusov omogoča, da ohranijo trajen nepooblaščen dostop, hkrati pa okužbo monetizirajo v realnem času.

Ta kampanja poudarja naraščajoči trend k dostavi več koristnih tovorov, kjer napadalci z eno samo kršitvijo maksimizirajo operativno učinkovitost in finančni donos.

Taktike zakrivanja: Prikrivanje koristnega tovora

Nalagalnik, ki je v središču te kampanje, je zasnovan za prikritost. V svoj razdelek z viri vdela dva šifrirana koristna tovora, pri čemer uporablja tehnike zakrivanja, da bi se izognil tradicionalnim mehanizmom zaznavanja.

Izvajanje se začne z modulom oglasne programske opreme CloverPlus, ki je identificiran kot AdWare.Win32.CloverPlus in je povezan z izvedljivo datoteko z imenom wiseman.exe. Ta komponenta spreminja nastavitve zagona brskalnika in vstavlja trajne pojavne oglase.

Nato nalagalnik oceni svojo izvajalno pot. Če ne deluje iz sistemskega imenika %temp%, tam ustvari svojo kopijo, preden nadaljuje. Naslednja faza vključuje dešifriranje odjemalskega modula Gh0st RAT, ki je prav tako skrit kot šifriran vir znotraj binarne datoteke zlonamerne programske opreme.

Ko je zlonamerna programska oprema dešifriran, dodeli koristnemu tovoru naključno ime datoteke in jo shrani v naključno poimenovano mapo, ki se nahaja v korenu pogona C:\, kar dodatno otežuje odkrivanje in analizo.

Živeti od zemlje: Zaupanja vredna orodja, zlonamerni namen

Za izvedbo dešifrirane koristne obremenitve zlonamerna programska oprema uporablja legitimni pripomoček za Windows rundll32.exe. Ta pristop omogoča izvajanje zlonamerne kode pod krinko zaupanja vrednega sistemskega procesa, kar znatno zmanjša verjetnost sprožitve varnostnih obramb.

Ko je Gh0st RAT aktiven, začne profilirati ogroženi sistem z zbiranjem edinstvenih identifikatorjev, kot sta naslov MAC in serijska številka trdega diska. Ti podatki se uporabljajo za registracijo žrtve znotraj napadalčeve infrastrukture za upravljanje in nadzor, kar zagotavlja natančno sledenje in upravljanje okuženih gostiteljev.

Mehanizmi vztrajnosti: Zagotavljanje dolgoročnega dostopa

Ohranjanje dostopa po ponovnem zagonu sistema je ključni cilj te kampanje. Gh0st RAT dosega vztrajnost z več tehnikami, vgrajenimi globoko v operacijski sistem:

Sprememba ključa registra Windows Run za zagotovitev samodejnega izvajanja ob zagonu
Registracija zlonamerne datoteke DLL znotraj poti storitve oddaljenega dostopa v imeniku SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Te metode zlonamerni programski opremi podelijo privilegije na ravni SISTEMA vsakič, ko se zažene povezana storitev, s čimer se odpravi potreba po nadaljnji interakciji uporabnika in okrepi dolgoročni nadzor.

Odkrivanje in obramba: Kazalniki kompromitacije

Vpliv te kampanje je precejšen tako za posameznike kot za organizacije. Medtem ko komponenta oglaševalske programske opreme moti delovanje brskalnika in povečuje izpostavljenost zlonamernemu oglaševanju, komponenta RAT omogoča krajo podatkov, beleženje pritiskov tipk, obhod varnosti in trajen privilegiran dostop.

Varnostne ekipe morajo ostati pozorne in spremljati naslednje kazalnike ogroženosti:

  • Izvajanje rundll32.exe, ki nalaga DLL-je ali nestandardne končnice datotek iz nenavadnih ali sumljivih imenikov
  • Dejavnost procesa, ki izvira iz mape %temp%
  • Nepooblaščene spremembe ključev zagona registra ali konfiguracij storitve RemoteAccess
  • Uporaba zakasnitev na podlagi pinga za izogibanje zaznavanju v peskovniku
  • Nenavadni vzorci prometa DNS in nepričakovane spremembe v sistemski datoteki gostiteljev

Proaktivno spremljanje in hiter odziv na te signale sta ključnega pomena za zmanjševanje tveganj, ki jih predstavlja ta sofisticirana kampanja zlonamerne programske opreme z dvojno grožnjo.

V trendu

Potrdite novo posodobitev zasebnosti in varnostne...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki zahtevajo nujno ukrepanje, je treba vedno obravnavati previdno. Kibernetski kriminalci pogosto prikrijejo zlonamerna sporočila kot legitimna obvestila, da bi izkoristili zaupanje in sprožili paniko. Pomembno je vedeti, da prevare, kot so e-poštna sporočila »Potrdi novo posodobitev zasebnosti«, niso povezane z nobenim legitimnim podjetjem, organizacijo ali...

Najbolj gledan

Nalaganje...