De op Rust gebaseerde injector Freeze[.]rs is als wapen ingezet om een reeks malware bij doelwitten te introduceren, in een geavanceerde phishing-campagne met een kwaadaardig PDF-bestand dat eindpuntdetectie en respons (EDR) omzeilt.
De campagne werd voor het eerst ontdekt door Fortinet's FortiGuard Labs in juli en richt zich op slachtoffers in heel Europa en Noord-Amerika, inclusief leveranciers van gespecialiseerde chemische of industriële producten.
Uiteindelijk culmineert deze keten in het laden van XWorm-malware, waardoor communicatie tot stand wordt gebracht met een command-and-control (C2)-server, zo blijkt uit een analyse van het bedrijf. XWorm kan een breed scala aan functies uitvoeren, van het laden van ransomware tot het fungeren als een permanente achterdeur.
Verdere onthullingen onthulden ook de betrokkenheid van SYK Crypter, een tool die vaak wordt gebruikt om malwarefamilies te verspreiden via het Discord-communitychatplatform. Deze crypter speelde een rol bij het laden Remcos, een geavanceerde Trojan voor externe toegang (RAT) bedreven in het besturen en monitoren van Windows-apparaten.
EDR op het ijs zetten: onder de motorkap van de aanvalsketen van Freeze[.]rs
In hun onderzoek leidde de analyse van het team van gecodeerde algoritmen en API-namen de oorsprong van deze nieuwe injector terug naar de Red Team-tool “Freeze.rs”, expliciet ontworpen voor het maken van payloads die EDR-beveiligingsmaatregelen kunnen omzeilen.
"Dit bestand wordt omgeleid naar een HTML-bestand en gebruikt het 'search-ms'-protocol om toegang te krijgen tot een LNK-bestand op een externe server", aldus een blogpost van het bedrijf uitgelegd. “Als je op het LNK-bestand klikt, voert een PowerShell-script Freeze[.]rs en SYK Crypter uit voor verdere aanstootgevende acties.”
Cara Lin, onderzoeker bij FortiGuard Labs, legt uit dat de Freeze[.]rs-injector NT-syscalls aanroept om de shellcode te injecteren, waarbij de standaardaanroepen in de Kernel-basis-dll worden overgeslagen, die mogelijk zijn gehaakt.
“Ze maken gebruik van de kleine vertraging die optreedt voordat een EDR begint met het koppelen en wijzigen van de samenstelling van systeem-DLL’s binnen een proces”, zegt ze. “Als een proces in een onderbroken status wordt gemaakt, zijn er minimale DLL’s geladen en worden er geen EDR-specifieke DLL’s geladen, wat aangeeft dat de syscalls binnen Ntdll.dll ongewijzigd blijven.”
Lin legt uit dat de aanvalsketen wordt geïnitieerd via een pdf-bestand met boobytraps, dat samenwerkt met een 'search-ms'-protocol om de lading af te leveren.
Deze JavaScript-code maakte gebruik van de “search-ms”-functionaliteit om het LNK-bestand op een externe server te onthullen.
Het “search-ms”-protocol kan gebruikers via een Windows Verkenner-venster omleiden naar een externe server.
“Door het gebruik van een misleidend LNK-bestand, vermomd als een PDF-pictogram, kan het slachtoffers misleiden door te geloven dat het bestand afkomstig is van hun eigen systeem en legitiem is”, merkt ze op.
Ondertussen "kopiëert de SYK Crypter zichzelf naar de map Opstarten voor persistentie, codeert de configuratie tijdens het coderen en decodeert deze bij uitvoering, en codeert ook de gecomprimeerde payload in de bron voor verduistering", voegt ze eraan toe.
Naast de codering in de eerste laag wordt een downloader gebruikt en vervolgens omvat een tweede laag stringverduistering en payload-codering.
“Deze meerlaagse strategie is ontworpen om de complexiteit en uitdaging van statische analyses te vergroten”, zegt ze. “Ten slotte kan het zichzelf beëindigen als een specifieke beveiligingsleverancier wordt herkend.”
Hoe u zich kunt verdedigen tegen het toenemende risico op phishing
Phishing en andere op berichten gebaseerde aanvallen blijft een alomtegenwoordige dreiging, waarbij 97% van de bedrijven in de afgelopen twaalf maanden ten minste één phishing-aanval per e-mail heeft meegemaakt en driekwart van de bedrijven aanzienlijke kosten verwacht van een op e-mail gebaseerde aanval.
Phishing-aanvallen worden slimmer en doelgerichter, passen zich aan nieuwe technologie en gebruikersgedrag aan en evolueren naar mobiele exploits, merknabootsing en door AI gegenereerde inhoud.
Uit het onderzoek blijkt dat het van cruciaal belang is om up-to-date software te onderhouden om risico's te beperken, regelmatige training te bieden en geavanceerde beveiligingstools te gebruiken ter verdediging om de zich ontwikkelende dreiging van phishing-aanvallen tegen te gaan.
Phishing-simulatietraining voor medewerkers lijkt beter te werken bij organisaties met kritieke infrastructuur dan in andere sectoren: 66% van deze werknemers rapporteert correct ten minste één echte kwaadwillige e-mailaanval binnen een jaar na training, zo blijkt uit nieuw onderzoek.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure
- : heeft
- :is
- 12
- 12 maanden
- 7
- a
- toegang
- over
- waarnemend
- acties
- Voegt
- vergevorderd
- tegen
- algoritmen
- naast
- ook
- Amerika
- an
- analyse
- en
- api
- ZIJN
- rond
- AS
- bijeenkomst
- At
- aanvallen
- Aanvallen
- terug
- achterdeur
- baseren
- BE
- geweest
- vaardigheden
- gedrag
- geloven
- Betere
- Blog
- merk
- by
- oproepen
- Campagne
- CAN
- in staat
- dragen
- keten
- uitdagen
- chemisch
- code
- Communicatie
- gemeenschap
- Bedrijven
- afstand
- ingewikkeldheid
- Configuratie
- content
- het regelen van
- Kosten
- Counter
- aangemaakt
- kritisch
- Kritische infrastructuur
- cruciaal
- vertraging
- leveren
- ontworpen
- Opsporing
- systemen
- onenigheid
- ontdekt
- verdelen
- doet
- gedurende
- medewerkers
- encryptie
- Endpoint
- verhogen
- oprichting
- Europa
- evoluerende
- Voert uit
- uitvoering
- verwacht
- Verklaart
- exploits
- ontdekkingsreiziger
- gezinnen
- Dien in
- Tot slot
- Stevig
- bedrijven
- Voornaam*
- Voor
- Fortinet
- gevonden
- Bevriezen
- vaak
- oppompen van
- functionaliteit
- functies
- verder
- het krijgen van
- kap
- HTML
- HTTPS
- ICE
- ICON
- if
- in
- omvatten
- Inclusief
- industrieel
- Infrastructuur
- geïnitieerd
- injecteren
- in
- voorstellen
- onderzoek
- betrokkenheid
- IT
- HAAR
- zelf
- JavaScript
- jpg
- juli-
- Labs
- lagen
- minst
- rechtmatig
- lin
- het laden
- gelegen
- onderhouden
- malware
- Mei..
- maatregelen
- minimaal
- Verzachten
- Mobile
- Grensverkeer
- maanden
- meer
- meerlaags
- namen
- New
- geen
- noorden
- Noord-Amerika
- Opmerkingen
- roman
- of
- aanvallend
- on
- EEN
- or
- herkomst
- Overige
- uit
- het te bezitten.
- verleden
- volharding
- Phishing
- phishing-aanval
- phishing-aanvallen
- phishing-campagne
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- gespeeld
- Post
- PowerShell
- Product
- protocol
- zorgen voor
- reeks
- ransomware
- RAT
- vast
- herkennen
- Rood
- redirect
- regelmatig
- blijven
- vanop
- remote access
- Rapportage
- onderzoek
- onderzoeker
- antwoord
- onthullen
- Revealed
- risico's
- Rol
- s
- zegt
- Tweede
- Sectoren
- veiligheid
- Veiligheidsmaatregelen
- te zien
- ze
- aanzienlijke
- simulatie
- slimmer
- Software
- geraffineerd
- Specialiteit
- specifiek
- standaard
- starts
- startup
- Land
- Strategie
- Draad
- Hierop volgend
- leveranciers
- opgeschort
- system
- doelgerichte
- targeting
- doelen
- team
- Technologie
- neem contact
- dat
- De
- hun
- ze
- dit
- die
- bedreiging
- Door
- naar
- samen
- tools
- tools
- Trainingen
- Trojaans
- voor
- onthuld
- up-to-date
- op
- .
- Gebruiker
- gebruikers
- gebruikt
- maakt gebruik van
- verkoper
- via
- slachtoffers
- welke
- breed
- Grote range
- venster
- ruiten
- Met
- binnen
- Mijn werk
- Bedrijven
- jaar
- zephyrnet
