XWorm, Remcos RAT Αποφεύγουν τα EDR για να μολύνουν την κρίσιμη υποδομή

Το Rust-based injector Freeze[.]rs έχει οπλιστεί για να εισάγει μια σειρά από κακόβουλο λογισμικό σε στόχους, σε μια εξελιγμένη καμπάνια ηλεκτρονικού ψαρέματος που περιέχει ένα κακόβουλο αρχείο PDF που περιβάλλει τον εντοπισμό και την απόκριση τελικού σημείου (EDR).

Η εκστρατεία που ανακαλύφθηκε για πρώτη φορά από τα εργαστήρια FortiGuard της Fortinet τον Ιούλιο, στοχεύει θύματα σε όλη την Ευρώπη και τη Βόρεια Αμερική, συμπεριλαμβανομένων εξειδικευμένων προμηθευτών χημικών ή βιομηχανικών προϊόντων.

Τελικά, αυτή η αλυσίδα κορυφώνεται με τη φόρτωση του κακόβουλου λογισμικού XWorm που δημιουργεί επικοινωνία με έναν διακομιστή εντολών και ελέγχου (C2), όπως αποκάλυψε μια ανάλυση από την εταιρεία. Το XWorm μπορεί να εκτελέσει ένα ευρύ φάσμα λειτουργιών, από τη φόρτωση ransomware έως τη λειτουργία ως μόνιμο backdoor.

Περαιτέρω αποκαλύψεις αποκάλυψαν επίσης τη συμμετοχή του SYK Crypter, ενός εργαλείου που χρησιμοποιείται συχνά για τη διανομή οικογενειών κακόβουλου λογισμικού μέσω της πλατφόρμας συνομιλίας της κοινότητας Discord. Αυτό το crypter έπαιξε ρόλο στη φόρτωση Remcos, ένα εξελιγμένο Trojan απομακρυσμένης πρόσβασης (RAT) έμπειρος στον έλεγχο και την παρακολούθηση συσκευών Windows.

Τοποθέτηση του EDR στον πάγο: Κάτω από την κουκούλα της αλυσίδας επίθεσης Freeze[.]rs

Στην έρευνά τους, η ανάλυση της ομάδας κωδικοποιημένων αλγορίθμων και ονομάτων API εντόπισε την προέλευση αυτού του νέου εγχυτήρα πίσω στο εργαλείο Red Team "Freeze.rs", σχεδιασμένο ρητά για τη δημιουργία ωφέλιμων φορτίων ικανών να παρακάμπτουν τα μέτρα ασφαλείας EDR.

"Αυτό το αρχείο ανακατευθύνεται σε ένα αρχείο HTML και χρησιμοποιεί το πρωτόκολλο "search-ms" για πρόσβαση σε ένα αρχείο LNK σε έναν απομακρυσμένο διακομιστή", μια ανάρτηση ιστολογίου της εταιρείας εξήγησε. "Κάνοντας κλικ στο αρχείο LNK, ένα σενάριο PowerShell εκτελεί το Freeze[.]rs και το SYK Crypter για περαιτέρω επιθετικές ενέργειες."

Η Cara Lin, ερευνήτρια της FortiGuard Labs, εξηγεί ότι η συσκευή έγχυσης Freeze[.]rs καλεί NT syscalls για να εισάγουν τον shellcode, παρακάμπτοντας τις τυπικές κλήσεις που βρίσκονται στο dll της βάσης του πυρήνα, οι οποίες ενδέχεται να είναι συνδεδεμένες.

"Χρησιμοποιούν τη μικρή καθυστέρηση που συμβαίνει πριν ένα EDR αρχίσει να συνδέει και να τροποποιεί τη συναρμολόγηση των DLL συστήματος μέσα σε μια διαδικασία", λέει. "Εάν μια διεργασία έχει δημιουργηθεί σε κατάσταση αναστολής, έχει φορτωμένα ελάχιστα DLL και δεν φορτώνονται ειδικά DLL για το EDR, υποδεικνύοντας ότι τα syscals στο Ntdll.dll παραμένουν αναλλοίωτα."

Ο Lin εξηγεί ότι η αλυσίδα επίθεσης εκκινείται μέσω ενός αρχείου PDF παγιδευμένου με εκρηκτικά, το οποίο λειτουργεί μαζί με ένα πρωτόκολλο «search-ms» για την παράδοση του ωφέλιμου φορτίου.

Αυτός ο κώδικας JavaScript χρησιμοποίησε τη λειτουργία "search-ms" για να αποκαλύψει το αρχείο LNK που βρίσκεται σε έναν απομακρυσμένο διακομιστή.

Το πρωτόκολλο «search-ms» μπορεί να ανακατευθύνει τους χρήστες σε έναν απομακρυσμένο διακομιστή μέσω ενός παραθύρου της Εξερεύνησης των Windows.

«Μέσω της χρήσης ενός παραπλανητικού αρχείου LNK που είναι μεταμφιεσμένο σε εικονίδιο PDF, μπορεί να παραπλανήσει τα θύματα να πιστέψουν ότι το αρχείο προέρχεται από το δικό τους σύστημα και είναι νόμιμο», σημειώνει.

Εν τω μεταξύ, «το SYK Crypter αντιγράφεται στον φάκελο Startup για επιμονή, κρυπτογραφεί τη διαμόρφωση κατά την κωδικοποίηση και την αποκρυπτογραφεί κατά την εκτέλεση και επίσης κρυπτογραφεί το συμπιεσμένο ωφέλιμο φορτίο στον πόρο για συσκότιση», προσθέτει.

Ένα πρόγραμμα λήψης χρησιμοποιείται παράλληλα με την κωδικοποίηση στο πρώτο επίπεδο και, στη συνέχεια, ένα δεύτερο επίπεδο περιλαμβάνει συσκότιση συμβολοσειράς και κρυπτογράφηση ωφέλιμου φορτίου.

«Αυτή η στρατηγική πολλαπλών επιπέδων έχει σχεδιαστεί για να ενισχύσει την πολυπλοκότητα και την πρόκληση για στατική ανάλυση», λέει. «Τέλος, μπορεί να τερματιστεί όταν αναγνωρίσει έναν συγκεκριμένο προμηθευτή ασφάλειας».

Τρόπος άμυνας ενάντια στον αυξανόμενο κίνδυνο phishing

phishing και άλλες επιθέσεις που βασίζονται σε μηνύματα εξακολουθούν να αποτελούν μια διάχυτη απειλή, με το 97% των εταιρειών να έχουν δει τουλάχιστον μία επίθεση ηλεκτρονικού ψαρέματος τους τελευταίους 12 μήνες και τα τρία τέταρτα των εταιρειών να αναμένουν σημαντικό κόστος από μια επίθεση που βασίζεται σε email.

Επιθέσεις ψαρέματος γίνονται πιο έξυπνοι και πιο στοχευμένοι, προσαρμόζονται στη νέα τεχνολογία και τη συμπεριφορά των χρηστών, εξελίσσονται ώστε να περιλαμβάνουν εκμεταλλεύσεις για κινητά, πλαστοπροσωπία επωνυμίας και περιεχόμενο που δημιουργείται από AI.

Η έρευνα επισημαίνει ότι είναι πολύ σημαντικό να διατηρείται ενημερωμένο λογισμικό για τον μετριασμό των κινδύνων, την παροχή τακτικής εκπαίδευσης και τη χρήση προηγμένων εργαλείων ασφαλείας για άμυνες για την αντιμετώπιση της εξελισσόμενης απειλής επιθέσεων phishing.

Εκπαίδευση προσομοίωσης phishing για εργαζόμενους φαίνεται να λειτουργεί καλύτερα σε οργανισμούς υποδομών ζωτικής σημασίας από ό,τι συμβαίνει σε άλλους τομείς, με το 66% αυτών των εργαζομένων να αναφέρουν σωστά τουλάχιστον μία πραγματική κακόβουλη επίθεση μέσω email μέσα σε ένα χρόνο εκπαίδευσης, σύμφωνα με νέα έρευνα.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure