TEARDROP skadlig programvara

Med Mezo år Malware, Remote Administration Tools, Trojan Downloader

Översätt till:

TEARDROP är ett av skadliga hot som används i försörjningskedjan mot Solarwinds Orion-plattform. Hotskådespelaren släppte lös en massa olika hotverktyg i enlighet med operationens specifika mål och det specifika infekterade målet. Den aldrig tidigare sett TEARDROP-skadliga programvaran fungerade som en andra stegs dropper, med uppgift att leverera en nästa stegs nyttolast - Cobalt Strike Beacon Implant (version 4). Det bör noteras att Cobalt Strike är ett legitimt fjärråtkomstverktyg som är utformat för att användas i penetrationstester. Men den stora uppsättningen av potenta funktioner har gjort det till en populär fixtur i arsenalen av flera hackargrupper. Cobalt Strike tillåter en potentiell hotaktör att etablera nästan full kontroll över det komprometterade systemet. RAT (Remote Access Tool) kan beordras för att upprätta keylogging-rutiner, ta godtyckliga bilder på systemet, leverera ytterligare skadliga nyttolaster, manipulera filsystemet och exfiltrera utvalda känsliga data till fjärrservrar genom krypterade tunnlar.

TEARDROP Malware's Structure

TEARDROP-dropparen är ett hotande 64-bitars dynamiskt länkbibliotek (DLL) som fungerar i minnet helt utan att skriva några filer på disken. Den körs som en tjänst, skapar en tråd och läser de första 64 bytes av en fil som heter ' festive_computer.jpg .' Uppgifterna behövs inte för någonting och hotet fortsätter med sin verksamhet även utan filen 'festive_computer.jpg'. Det faktiska namnet på filen kan variera eftersom vissa infosec-forskare har upptäckt andra versioner som ' gracious_truth.jpg '.

Nästa steg för TEARDROP-skadlig programvara är att kontrollera förekomsten av HKU \ SOFTWARE \ Microsoft \ CTF och avkoda den inbäddade nyttolasten för Cobalt Strike-fyren via en anpassad XOR-algoritm. Slutligen laddar dropparen den inbäddade nyttolasten i minnet genom ett anpassat PE-liknande format.

TEARDROP är nära besläktad med en annan droppfamilj som observerats i samma attackkedja som heter Raindrop. De två hoten har identiska funktioner och betydande överlappningar praktiskt taget, och de uppvisar några viktiga skillnader. Den största skillnaden mellan de två skadliga familjerna är användningen av en annan packare för Raindrop .

Sök

Ändra region

TEARDROP skadlig programvara

skicka kommentar

Trendigt

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mest sedda

Är Lookmovie.io säkert?

Hur du åtgärdar "Skrivardrivrutinen är inte...

Discord visar svart skärm när skärmen delas