Roostel põhinev pihusti Freeze[.]rs on relvastatud, et tuua sihtmärkidele hulgaliselt pahavara keerukas andmepüügikampaanias, mis sisaldab pahatahtlikku PDF-faili, mis on seotud lõpp-punkti tuvastamise ja reageerimisega (EDR).
Fortineti FortiGuard Labsi avastas juulis esmakordselt kampaania, mis on suunatud ohvritele kogu Euroopas ja Põhja-Ameerikas, sealhulgas erikemikaalide või tööstustoodete tarnijatele.
Lõpuks kulmineerub see ahel XWormi pahavara laadimisega, mis loob side käsu-ja-juhtimise (C2) serveriga, selgus ettevõtte analüüsist. XWorm suudab täita mitmesuguseid funktsioone, alates lunavara laadimisest kuni püsiva tagauksena toimimiseni.
Täiendavad paljastused paljastasid ka SYK Crypteri kaasamise – tööriista, mida sageli kasutatakse pahavaraperekondade levitamiseks Discordi kogukonna vestlusplatvormi kaudu. See krüpter mängis laadimisel rolli Remcos, keerukas kaugjuurdepääsu troojalane (RAT) oskab Windowsi seadmeid juhtida ja jälgida.
EDR-i jääle panemine: Freeze[.]rs-i rünnakuketi kapoti all
Uurimise käigus viis meeskonna kodeeritud algoritmide ja API-nimede analüüs selle uudse pihusti päritolu tagasi Red Teami tööriistale "Freeze.rs", mis on mõeldud spetsiaalselt EDR-i turvameetmetest mööda hiilivate kasulike koormuste loomiseks.
"See fail suunab ümber HTML-faili ja kasutab kaugserveris olevale LNK-failile juurdepääsuks otsingu-ms-protokolli," kirjutatakse ettevõtte ajaveebi postituses. selgitas. "LNK-failil klõpsamisel käivitab PowerShelli skript Freeze[.]rs ja SYK Crypter edasiste solvavate toimingute jaoks."
FortiGuard Labsi teadlane Cara Lin selgitab, et Freeze[.]rs-i injektor kutsub shellkoodi sisestamiseks NT syscall'i, jättes vahele Kernel Base dll-is olevad standardkõned, mis võivad olla konksud.
"Nad kasutavad väikest viivitust, mis tekib enne, kui EDR hakkab protsessis süsteemi DLL-ide kokkupanekut haakima ja muutma," ütleb ta. "Kui protsess luuakse peatatud olekus, on sellesse laaditud minimaalselt DLL-e ja EDR-spetsiifilisi DLL-e ei laadita, mis näitab, et failis Ntdll.dll olevad süsteemikutsed jäävad muutumatuks."
Lin selgitab, et ründeahel käivitatakse lõksus oleva PDF-faili kaudu, mis töötab kasuliku koormuse edastamiseks koos otsingu-ms-protokolliga.
See JavaScripti kood kasutas kaugserveris asuva LNK-faili paljastamiseks funktsiooni "search-ms".
Protokoll "Search-ms" võib kasutajad Windows Exploreri akna kaudu kaugserverisse suunata.
"PDF-ikoonina maskeeritud petliku LNK-faili kasutamine võib petta ohvreid uskuma, et fail pärineb nende enda süsteemist ja on legitiimne," märgib ta.
Vahepeal "SYK Crypter kopeerib end püsivuse tagamiseks käivituskausta, krüpteerib konfiguratsiooni kodeerimise ajal ja dekrüpteerib selle täitmisel ning krüpteerib ka ressursi tihendatud kasuliku koormuse hägustamiseks," lisab ta.
Esimeses kihis kasutatakse koos kodeerimisega allalaadijat ja seejärel hõlmab teine kiht stringide hägustamist ja kasuliku koormuse krüptimist.
"See mitmekihiline strateegia on loodud staatilise analüüsi keerukuse ja väljakutse suurendamiseks, " ütleb ta. "Lõpuks võib see konkreetse turbemüüja äratundmisel ise lõpetada."
Kuidas end andmepüügiriski eest kaitsta
Andmepüük ja muud sõnumipõhised rünnakud on jätkuvalt läbiv oht, kus 97% ettevõtetest on viimase 12 kuu jooksul näinud vähemalt ühte e-kirjade andmepüügi rünnakut ja kolmveerand ettevõtetest ootavad meilipõhiselt rünnakult märkimisväärseid kulusid.
Phishing-rünnakud muutuvad targemaks ja sihipärasemaks, kohanduvad uue tehnoloogia ja kasutajate käitumisega, arenevad, hõlmates mobiilseid ärakasutusi, kaubamärgina esinemist ja tehisintellekti loodud sisu.
Uuring märgib, et on ülioluline säilitada ajakohastatud tarkvara, et maandada riske, pakkuda regulaarset koolitust ja kasutada täiustatud turbetööriistu kaitseks, et võidelda andmepüügirünnakute areneva ohuga.
Andmepüügi simulatsiooni koolitus töötajatele näib töötavat paremini kriitilise infrastruktuuri organisatsioonides Uued uuringud on leidnud, et see on teistes sektorites – 66% töötajatest on aasta jooksul pärast koolitust õigesti teatanud vähemalt ühest pahatahtlikust meilirünnakust.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- ChartPrime. Tõsta oma kauplemismängu ChartPrime'iga kõrgemale. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure
- :on
- :on
- 12
- 12 kuud
- 7
- a
- juurdepääs
- üle
- kohusetäitja
- meetmete
- Lisab
- edasijõudnud
- vastu
- algoritme
- kõrval
- Ka
- Ameerika
- an
- analüüs
- ja
- API
- OLEME
- ümber
- AS
- Kokkupanek
- At
- rünnak
- Reageerib
- tagasi
- tagauks
- baas
- BE
- olnud
- enne
- käitumine
- uskudes
- Parem
- Blogi
- bränd
- by
- Kutsub
- Kampaania
- CAN
- võimeline
- viima
- kett
- väljakutse
- keemiline
- kood
- KOMMUNIKATSIOON
- kogukond
- Ettevõtted
- ettevõte
- keerukus
- konfiguratsioon
- sisu
- kontroll
- kulud
- Võidelda
- loodud
- kriitiline
- Kriitiline infrastruktuur
- otsustav
- viivitus
- tarnima
- kavandatud
- Detection
- seadmed
- ebakõla
- avastasin
- levitada
- ei
- ajal
- töötajad
- krüpteerimist
- Lõpp-punkt
- suurendama
- asutades
- Euroopa
- areneb
- Täidab
- täitmine
- ootab
- Selgitab
- ärakasutamine
- uurija
- peredele
- fail
- Lõpuks
- Firma
- ettevõtetele
- esimene
- eest
- Fortinet
- avastatud
- Külmutama
- sageli
- Alates
- funktsionaalsus
- funktsioonid
- edasi
- saamine
- kapuuts
- HTML
- HTTPS
- ICE
- ICON
- if
- in
- sisaldama
- Kaasa arvatud
- tööstus-
- Infrastruktuur
- algatatud
- süstima
- sisse
- kehtestama
- uurimine
- kaasamine
- IT
- ITS
- ise
- JavaScript
- jpg
- Juuli
- Labs
- kiht
- kõige vähem
- õigustatud
- lin
- laadimine
- asub
- säilitada
- malware
- mai..
- meetmed
- minimaalne
- Leevendada
- mobiilne
- järelevalve
- kuu
- rohkem
- mitmekihiline
- nimed
- Uus
- ei
- põhja-
- Põhja-Ameerika
- märkused
- romaan
- of
- solvav
- on
- ONE
- or
- päritolu
- Muu
- välja
- enda
- minevik
- püsivus
- Phishing
- õngevõtmiskatset
- andmepüügirünnakud
- andmepüügikampaania
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängis
- post
- PowerShell
- protsess
- Toode
- protokoll
- anda
- valik
- ransomware
- ROT
- reaalne
- tunnustamine
- Red
- suunata
- regulaarne
- jääma
- kauge
- Remote Access
- Aruandlus
- teadustöö
- uurija
- vastus
- avalduma
- Revealed
- riskide
- Roll
- s
- ütleb
- Teine
- Sektorid
- turvalisus
- Turvameetmed
- nägemine
- ta
- märkimisväärne
- simuleerimine
- targemaks
- tarkvara
- keeruline
- Eriala
- konkreetse
- standard
- algab
- käivitamisel
- riik
- Strateegia
- nöör
- Järgnevalt
- Tarnijate
- peatatud
- süsteem
- suunatud
- sihtimine
- eesmärgid
- meeskond
- Tehnoloogia
- kui
- et
- .
- oma
- nad
- see
- need
- oht
- Läbi
- et
- kokku
- tööriist
- töövahendid
- koolitus
- Trojan
- all
- Avalikustas
- ajakohane
- peale
- kasutama
- Kasutaja
- Kasutajad
- kasutatud
- kasutab ära
- müüja
- kaudu
- ohvreid
- mis
- lai
- Lai valik
- aken
- aknad
- koos
- jooksul
- Töö
- töötab
- aasta
- sephyrnet
