Licenser för flera enheter (volymrabatter)

Ändra region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Trojan Downloader SkinnyBoy skadlig programvara

SkinnyBoy skadlig programvara

Med CagedTech år Trojan Downloader
Översätt till:
Svenska

Infosec-experter från Cluster 25-hotforskningsföretaget avslöjade en ny spjutfiske-kampanj som utnyttjas mot strategiska enheter. Som en del av attackkedjan hittade forskarna ett nytt hot mot skadlig programvara som fungerade som en nedladdningsare i mitten av uppdraget att leverera den sista hotfulla nyttolasten till trasiga system. Malware, som heter SkinnyBoy, har tillskrivits att vara en del av den skadliga arsenalen för det rysskspråkiga APT28- gänget. Denna speciella hotaktör tacklas också under namnen Fancybear, Sednit, Strontium, PwnStorm och Sofacy.

SkinnyBoy-egenskaper

SkinnyBoy-attacken börjar med leverans av betesfiske-e-postmeddelanden. Offren får en falsk inbjudan till en internationell vetenskaplig händelse som förmodligen kommer att äga rum i Spanien i slutet av juli. Bifogat till e-postmeddelandet finns ett vapenförsett Microsoft-dokument som innehåller ett skadat makro. När den aktiveras extraherar makrot en nedladdning av skadlig kod i form av en DLL-fil.

SkinnyBoy levereras bredvid det infekterade systemet. Hotet kommer som en fil med namnet 'tpd1.exe.' När SkinnyBoy har startats försöker den skapa en uthållighetsmekanism genom att skapa en LNK-fil under Windows startmapp. Närhelst det komprometterade systemet startas om nästa gång utlöses LNK och börjar leta efter den huvudsakliga SkinnyBoy-nyttolastfilen 'TermSrvClt.dll.' Det görs genom att skanna SHA256-hash för varje fil som är lagrad i C: \ Users \% användarnamn% \ AppData \ Local.

Kärnuppgiften som utförs av SkinnyBoy är leveransen av den slutliga nyttolasten på de infekterade systemen. Medan det finns i systemet, kommer hotet dock också att samla in specifik information genom att utnyttja Windows-verktygen 'syteminfo.exe' och 'tasklist.exe.' Data samlas in från följande filer och platser:

  • C: \ Användare \% användarnamn% \ Skrivbord
  • C: \ Program Files - C: \ Program Files (x86)
  • C: \ Användare \% användarnamn% \ AppData \ Roaming \ Microsoft \ Windows \ Startmeny \ Program \ Administrationsverktyg
  • C: \ Användare \% användarnamn% \ AppData \ Roaming
  • C: \ Användare \% användarnamn% \ AppData \ Roaming \ Microsoft \ Windows \ Mallar
  • C: \ Windows - C: \ Användare \ användare \ AppData \ Local \ Temp

Informationen som skördats av SkinnyBoy organiseras sedan, kodas i base64-format och exfiltreras till Command-and-Control-servrarna för operationen.

SkinnyBoy-offer

SkinnyBoy-skadlig programvara har hittills använts mot en stor uppsättning potentiella offer. Det verkar som att APT28 huvudsakligen riktar sig till myndigheter som utrikesministerier, försvarsindustrins enheter, ambassader och militära organisationer. Medan flera av offren befann sig i Europeiska unionen kan APT28 verka i större skala med attacken som eventuellt också påverkar amerikanska organisationer.

Trendigt

Mest sedda

Läser in...