Den Rust-baserede injector Freeze[.]rs er blevet våben til at introducere en række malware til mål i en sofistikeret phishing-kampagne, der indeholder en ondsindet PDF-fil, der kommer rundt om endpoint detection and response (EDR).
Kampagnen blev først opdaget af Fortinets FortiGuard Labs i juli og retter sig mod ofre i hele Europa og Nordamerika, inklusive leverandører af specialkemikalier eller industriprodukter.
Til sidst kulminerer denne kæde i indlæsningen af XWorm malware, der etablerer kommunikation med en kommando-og-kontrol (C2) server, afslørede en analyse fra firmaet. XWorm kan udføre en lang række funktioner, lige fra at indlæse ransomware til at fungere som en vedvarende bagdør.
Yderligere afsløringer afslørede også involveringen af SYK Crypter, et værktøj, der ofte bruges til at distribuere malware-familier via Discord community-chatplatformen. Denne kryptering spillede en rolle i indlæsningen Remcos, en sofistikeret trojansk hest med fjernadgang (RAT) dygtig til at kontrollere og overvåge Windows-enheder.
Putting EDR on Ice: Under the Hood of the Freeze[.]rs Attack Chain
I deres undersøgelse sporede holdets analyse af kodede algoritmer og API-navne oprindelsen af denne nye injektor tilbage til Red Team-værktøjet "Freeze.rs", designet eksplicit til at lave nyttelaster, der er i stand til at omgå EDR-sikkerhedsforanstaltninger.
"Denne fil omdirigerer til en HTML-fil og bruger 'search-ms'-protokollen til at få adgang til en LNK-fil på en ekstern server," et blogindlæg fra virksomheden forklarede. "Når du klikker på LNK-filen, udfører et PowerShell-script Freeze[.]rs og SYK Crypter for yderligere stødende handlinger."
Cara Lin, forsker, FortiGuard Labs, forklarer, at Freeze[.]rs-injektoren kalder NT-syscalls for at injicere shell-koden og springer de standardkald over, der er i Kernel base dll, som kan være tilsluttet.
"De bruger den lille forsinkelse, der opstår, før en EDR begynder at tilslutte og ændre samlingen af system-DLL'er i en proces," siger hun. "Hvis en proces er oprettet i en suspenderet tilstand, har den minimale DLL'er indlæst, og ingen EDR-specifikke DLL'er indlæses, hvilket indikerer, at syscalls i Ntdll.dll forbliver uændrede."
Lin forklarer, at angrebskæden initieres gennem en booby-fanget PDF-fil, som arbejder sammen med en "search-ms"-protokol for at levere nyttelasten.
Denne JavaScript-kode brugte "search-ms"-funktionaliteten til at afsløre LNK-filen placeret på en ekstern server.
"Search-ms"-protokollen kan omdirigere brugere til en ekstern server via et Windows Explorer-vindue.
"Ved brugen af en vildledende LNK-fil forklædt som et PDF-ikon, kan den bedrage ofre til at tro, at filen stammer fra deres eget system og er legitim," bemærker hun.
I mellemtiden "kopierer SYK Crypter sig selv til Startup-mappen for persistens, krypterer konfigurationen under kodning og dekrypterer den ved udførelse og krypterer også den komprimerede nyttelast i ressourcen til sløring," tilføjer hun.
En downloader bruges sammen med kodning i det første lag, og efterfølgende involverer et andet lag strengobfuskation og nyttelastkryptering.
"Denne flerlagsstrategi er designet til at øge kompleksiteten og udfordringen for statisk analyse," siger hun. "Endelig kan den afslutte sig selv, når den genkender en specifik sikkerhedsleverandør."
Sådan forsvarer du dig mod montering af phishing-risiko
Phishing og andre meddelelsesbaserede angreb fortsat være en gennemgående trussel, hvor 97 % af virksomhederne har set mindst ét e-mail-phishing-angreb inden for de seneste 12 måneder, og tre fjerdedele af virksomhederne forventer betydelige omkostninger ved et e-mail-baseret angreb.
Phishing angreb bliver klogere og mere målrettede, tilpasser sig ny teknologi og brugeradfærd, og udvikler sig til at inkludere mobile udnyttelser, brandefterligning og AI-genereret indhold.
Forskningen bemærker, at det er afgørende at vedligeholde opdateret software for at mindske risici, give regelmæssig træning og bruge avancerede sikkerhedsværktøjer til forsvar for at imødegå den voksende trussel om phishing-angreb.
Phishing-simuleringstræning for medarbejdere ser ud til at fungere bedre i kritiske infrastrukturorganisationer end det gør på tværs af andre sektorer, hvor 66 % af disse medarbejdere korrekt rapporterede mindst ét rigtigt ondsindet e-mailangreb inden for et års træning, har ny forskning fundet.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- ChartPrime. Løft dit handelsspil med ChartPrime. Adgang her.
- BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
- Kilde: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure
- :har
- :er
- 12
- 12 måneder
- 7
- a
- adgang
- tværs
- handler
- aktioner
- Tilføjer
- fremskreden
- mod
- algoritmer
- langs med
- også
- amerika
- an
- analyse
- ,
- api
- ER
- omkring
- AS
- Assembly
- At
- angribe
- Angreb
- tilbage
- bagdør
- bund
- BE
- været
- før
- adfærd
- tro
- Bedre
- Blog
- brand
- by
- Opkald
- Kampagne
- CAN
- stand
- bære
- kæde
- udfordre
- kemikalie
- kode
- Kommunikation
- samfund
- Virksomheder
- selskab
- kompleksitet
- Konfiguration
- indhold
- styring
- Omkostninger
- Counter
- oprettet
- kritisk
- Kritisk infrastruktur
- afgørende
- forsinkelse
- levere
- konstrueret
- Detektion
- Enheder
- disharmoni
- opdaget
- distribuere
- gør
- i løbet af
- medarbejdere
- kryptering
- Endpoint
- forbedre
- oprettelse
- Europa
- udviklende
- Udfører
- udførelse
- forventer
- Forklarer
- exploits
- opdagelsesrejsende
- familier
- File (Felt)
- Endelig
- Firm
- firmaer
- Fornavn
- Til
- Fortinet
- fundet
- Frys
- hyppigt
- fra
- funktionalitet
- funktioner
- yderligere
- få
- hætte
- HTML
- HTTPS
- ICE
- ICON
- if
- in
- omfatter
- Herunder
- industrielle
- Infrastruktur
- indledt
- injicerbar
- ind
- indføre
- undersøgelse
- involvering
- IT
- ITS
- selv
- JavaScript
- jpg
- juli
- Labs
- lag
- mindst
- legitim
- lin
- lastning
- placeret
- vedligeholde
- malware
- Kan..
- foranstaltninger
- mindste
- afbøde
- Mobil
- overvågning
- måned
- mere
- flerlagede
- navne
- Ny
- ingen
- Nord
- nordamerika
- Noter
- roman
- of
- offensiv
- on
- ONE
- or
- oprindelse
- Andet
- ud
- egen
- forbi
- udholdenhed
- Phishing
- phishing-angreb
- phishing-angreb
- phishing-kampagne
- perron
- plato
- Platon Data Intelligence
- PlatoData
- spillet
- Indlæg
- PowerShell
- behandle
- Produkt
- protokol
- give
- rækkevidde
- ransomware
- ROTTE
- ægte
- anerkende
- Rød
- omdirigere
- fast
- forblive
- fjern
- Remote Access
- Rapportering
- forskning
- forsker
- svar
- afsløre
- Revealed
- risici
- roller
- s
- siger
- Anden
- Sektorer
- sikkerhed
- Sikkerhedsforanstaltninger
- se
- hun
- signifikant
- simulation
- smartere
- Software
- sofistikeret
- Specialty
- specifikke
- standard
- starter
- opstart
- Tilstand
- Strategi
- String
- Efterfølgende
- leverandører
- suspenderet
- systemet
- målrettet
- rettet mod
- mål
- hold
- Teknologier
- end
- at
- deres
- de
- denne
- dem
- trussel
- Gennem
- til
- sammen
- værktøj
- værktøjer
- Kurser
- Trojan
- under
- afsløret
- up-to-date
- på
- brug
- Bruger
- brugere
- udnyttet
- udnytter
- sælger
- via
- ofre
- som
- bred
- Bred rækkevidde
- vindue
- vinduer
- med
- inden for
- Arbejde
- virker
- år
- zephyrnet
