Vaarallinen uusi haittaohjelmien latausohjelma, jossa on ominaisuuksia, joiden avulla voidaan määrittää, onko se yritysjärjestelmässä vai henkilökohtaisessa tietokoneessa, on alkanut nopeasti tartuttaa järjestelmiä maailmanlaajuisesti viime kuukausien aikana.
VMware Carbon Blackin tutkijat seuraavat uhkaa, nimeltään BatLoader, ja sanovat, että sen operaattorit käyttävät dropperia erilaisten haittaohjelmatyökalujen levittämiseen, mukaan lukien pankkitroijalainen, tietovarastaja ja Cobalt Strike -työkalusarja uhrijärjestelmiin. Uhkatoimijan taktiikka on ollut isännöidä haittaohjelmat vaarantuneille verkkosivustoille ja houkutella käyttäjiä sivustoille hakukoneoptimoinnin (SEO) myrkytysmenetelmillä.
Maasta asuminen
BatLoader luottaa vahvasti erä- ja PowerShell-skripteihin saadakseen ensimmäisen jalansijan uhrikoneella ja ladatakseen muita haittaohjelmia sille. Tämä on tehnyt kampanjan vaikea havaita ja estääVMware Carbon Blackin hallitun tunnistus- ja vastaustiimin (MDR) analyytikot sanoivat 14. marraskuuta julkaistussa raportissa, etenkin alkuvaiheessa.
VMware sanoi, että sen Carbon Black MDR -tiimi oli havainnut 43 onnistunutta tartuntaa viimeisen 90 päivän aikana, lisäksi lukuisia muita epäonnistuneita yrityksiä, joissa uhri latasi alkuperäisen tartuntatiedoston, mutta ei suorittanut sitä. Uhreista yhdeksän oli yrityspalvelualan organisaatioita, seitsemän rahoituspalveluyrityksiä ja viisi teollisuudessa. Muita uhreja olivat koulutus-, vähittäiskauppa-, IT- ja terveydenhuoltoalan organisaatiot.
eSentire kertoi 9. marraskuuta uhkien metsästysryhmänsä havainneen BatLoaderin operaattorin houkuttelevan uhreja verkkosivustoille, jotka naamioituivat suosittujen yritysohjelmistojen, kuten LogMeIn, Zoom, TeamViewer ja AnyDesk, lataussivuiksi. Uhkailija jakoi linkkejä näille verkkosivustoille hakukoneiden tuloksissa näkyvästi näkyvien mainosten kautta kun käyttäjät etsivät jotakin näistä ohjelmistotuotteista.
Tietoturvatoimittaja kertoi, että yhdessä lokakuun lopun tapahtumassa eSentire-asiakas saapui väärennetylle LogMeIn-lataussivulle ja latasi Windows-asennusohjelman, joka muun muassa profiloi järjestelmän ja käyttää tietoja toisen vaiheen hyötykuorman hakemiseen.
"BatLoaderista tekee mielenkiintoisen se, että siinä on sisäänrakennettu logiikka, joka määrittää, onko uhritietokone henkilökohtainen vai yrityksen tietokone", sanoo Keegan Keplinger, eSentiren TRU-tutkimusryhmän tutkimus- ja raportointijohtaja. "Sitten se pudottaa tilanteeseen sopivan haittaohjelman."
Valikoiva hyötykuorman toimitus
Jos BatLoader esimerkiksi osuu henkilökohtaiseen tietokoneeseen, se lataa Ursnif-pankkihaittaohjelman ja Vidar-tietovarastajan. Jos se osuu verkkotunnukseen liitettyyn tai yrityksen tietokoneeseen, se lataa Cobalt Striken ja Syncro-etävalvonta- ja -hallintatyökalun pankkitroijalaisen ja tietovarastajan lisäksi.
"Jos BatLoader laskeutuu henkilökohtaiselle tietokoneelle, se jatkaa petoksista, tietovarkauksista ja pankkipohjaisista hyötykuormista, kuten Ursnif", Keegan sanoo. "Jos BatLoader havaitsee, että se on organisaatioympäristössä, se jatkaa tunkeutumistyökaluilla, kuten Cobalt Strike ja Syncro."
Keegan sanoo, että eSentire on havainnut "paljon" viimeaikaisia BatLoaderin kyberhyökkäyksiä. Suurin osa hyökkäyksistä on opportunistisia ja osuu kaikkiin, jotka etsivät luotettavia ja suosittuja ilmaisia ohjelmistotyökaluja.
"Työkseen organisaatioiden eteen BatLoader hyödyntää myrkyllisiä mainoksia, joten kun työntekijät etsivät luotettavia ilmaisia ohjelmistoja, kuten LogMeIn ja Zoom, he päätyvät sen sijaan hyökkääjien hallitsemille sivustoille ja toimittavat BatLoaderia."
Päällekkäinen Conti, ZLoader kanssa
VMware Carbon Black sanoi, että vaikka BatLoader-kampanjassa on useita ainutlaatuisia ominaisuuksia, hyökkäysketjussa on myös useita ominaisuuksia, jotka muistuttavat Jatka ransomware-toimintaa.
Päällekkäisyyksiin kuuluvat IP-osoite, jota Conti-ryhmä käytti Log4j-haavoittuvuutta hyödyntävässä kampanjassa, sekä Atera-nimisen etähallintatyökalun käyttö, jota Conti on käyttänyt aiemmissa toimissaan.
Contin kanssa samankaltaisuuksien lisäksi BatLoaderilla on myös useita päällekkäisyyksiä Zloader, pankkitroijalainen joka näyttää olevan peräisin Zeus-pankkitroijalaisesta 2000-luvun alussa, tietoturvatoimittaja sanoi. Suurimpia yhtäläisyyksiä ovat SEO-myrkytyksen käyttö uhrien houkuttelemiseksi haittaohjelmia sisältäville verkkosivustoille, Windows Installerin käyttö alustavan jalansijan luomiseen sekä PowerShellin, eräkomentosarjojen ja muiden alkuperäisten käyttöjärjestelmän binäärien käyttö hyökkäysketjun aikana.
Mandiant raportoi ensimmäisenä BatLoaderista. Helmikuussa julkaistussa blogiviestissä tietoturvatoimittaja raportoi havainneensa uhkatekijää, joka käytti "ilmaisten tuottavuussovellusten asennusta" ja "ilmaisten ohjelmistokehitystyökalujen asennusta" SEO-avainsanoina houkutellakseen käyttäjiä lataamaan sivustoja.
"Tämä ensimmäinen BatLoader-kompromissi oli monivaiheisen infektioketjun alkua joka tarjoaa hyökkääjille jalansijan kohdeorganisaation sisällä", Mandiant sanoi. Hyökkääjät käyttivät jokaista vaihetta perustaakseen hyökkäysketjun seuraavan vaiheen käyttämällä työkaluja, kuten PowerShell, Msiexec.exe ja Mshta.exe, välttääkseen havaitsemisen.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
