Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер MixShell

Злонамерни софтвер MixShell

До Mezo. у Малваре
Преведи на:

Истраживачи сајбер безбедности открили су софистицирану операцију социјалног инжењеринга, под кодним називом ZipLine, која користи прикривени малвер у меморији познат као MixShell. Кампања је првенствено усмерена на производне компаније које су кључне за ланац снабдевања и представља растући тренд нападача који искоришћавају поуздане пословне токове рада уместо традиционалних метода фишинга.

Од контакт формулара до компромиса

За разлику од конвенционалних фишинг напада који се испоручују путем непожељних имејлова, оператери ZipLine-а почињу свој упад путем формулара „Контактирајте нас“ компаније. Овај суптилни приступ успоставља кредибилитет од самог почетка. Следи вишенедељна размена професионалне и убедљиве комуникације, често поткрепљена измишљеним уговорима о неоткривању података, пре него што нападачи испоруче злонамерну ZIP архиву која садржи MixShell.

Ова стрпљива тактика изградње поверења разликује ЗипЛајн од кампања вођених застрашивањем. У неким случајевима, нападачи чак прилагођавају свој приступ иницијативама вођеним вештачком интелигенцијом, представљајући се као партнери који могу помоћи у смањењу трошкова и повећању ефикасности.

Ко је на нишану?

Циљање ZipLine-а је широко, али је фокусирано на организације са седиштем у САД у оквиру индустрија које су кључне за ланац снабдевања. Остали погођени региони укључују Сингапур, Јапан и Швајцарску.

Кључни циљани сектори укључују:

  • Индустријска производња (машине, метални производи, компоненте, инжењерски системи)
  • Хардвер и полупроводници
  • Биотехнологија и фармацеутски производи
  • Производња робе широке потрошње

Нападачи такође користе домене који имитирају друштва са ограниченом одговорношћу регистрована у САД, понекад пренамењујући оне легитимних, али неактивних предузећа. Ови клонирани веб-сајтови указују на високо структурирану операцију великих размера.

Анатомија ланца напада

Успех ZipLine-а лежи у вишестепеном процесу инфекције осмишљеном за прикривеност и упорност. Оружјане ZIP архиве се обично налазе на Herokuapp.com, легитимном cloud сервису, што помаже злонамерном вирусу да се уклопи у нормалне мрежне активности.

Процес инфекције укључује:

  • Windows пречица (LNK) унутар ZIP датотеке покреће PowerShell програм за учитавање.
  • Програм за учитавање покреће MixShell, прилагођени имплантат који се у потпуности извршава у меморији.
  • MixShell комуницира путем DNS тунелирања (са HTTP резервним приступом), омогућавајући даљинско извршавање команди, манипулацију датотекама, обрнуто проксирање, перзистентност и инфилтрацију мреже.
  • Неке верзије укључују технике против дебаговања и избегавања песковитих оквира, заједно са заказаним задацима за одржавање истрајности.
  • Приметно је да LNK датотека такође покреће документ мамац, додатно маскирајући злонамерно понашање.

Линкови до претходних претњи

Истраживачи су идентификовали преклапања између дигиталних сертификата који се користе у инфраструктури ZipLine-а и оних повезаних са нападима TransferLoader-а који се приписују групи претњи под називом UNK_GreenSec. Иако је атрибуција и даље неизвесна, ова веза указује на добро организованог, сналажљивог актера са претходним искуством у кампањама великих размера.

Ризици кампање ЗипЛајна

Последице успешне инфекције MixShell-ом могу бити озбиљне, од крађе интелектуалне својине и угрожавања пословне е-поште до инцидената са ransomware-ом и поремећаја ланца снабдевања. С обзиром на природу циљаних индустрија, утицај би се могао проширити изван појединачних компанија на читаве производне екосистеме.

Одбрамбене мере: Остајање испред друштвено инжењерских претњи

Кампања ZipLine истиче како сајбер криминалци иновирају, користећи људску психологију, поуздане комуникационе канале и теме везане за вештачку интелигенцију како би искористили поверење.

Да би се супротставиле таквим претњама, организације морају:

  • Усвојите превентивне, одбрамбене мере способне да открију аномално понашање.
  • Обучите запослене да сваком долазном упиту приступају са скептицизмом, без обзира на коришћени канал.
  • Спроводите строге смернице за руковање датотекама, посебно око ZIP архива и датотека пречица.
  • Појачајте праћење аномалија у комуникацији заснованој на DNS-у које могу указивати на тунелирање.

Изградња културе будности је кључна. Поверење, када се једном искористи као оружје, постаје једно од најефикаснијих оруђа у арсеналу нападача.

У тренду

Пошиљка је креирана помоћу DHL Express преваре путем...

Пецање, Спам
Фишинг кампање настављају да злоупотребљавају поверење које људи имају у познате компаније. Једна таква шема која кружи је превара путем е-поште „Пошиљка је креирана помоћу DHL Express-а“. Иако се ове поруке претварају да потичу од глобалног логистичког провајдера DHL-а, оне ни на који начин нису повезане са легитимном компанијом. Уместо тога, оне су пажљиво осмишљени мамци намењени крађи...

Најгледанији

Злонамерних програма

Пецање, Спам
35,976
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...