Den rustbaserte injektoren Freeze[.]rs har blitt bevæpnet for å introdusere en rekke skadelig programvare til mål, i en sofistikert phishing-kampanje som inneholder en ondsinnet PDF-fil som omgår endepunktsdeteksjon og -respons (EDR).
Kampanjen ble først oppdaget av Fortinets FortiGuard Labs i juli, og retter seg mot ofre over hele Europa og Nord-Amerika, inkludert leverandører av spesialkjemikalier eller industriprodukter.
Til slutt kulminerer denne kjeden i lasting av XWorm malware som etablerer kommunikasjon med en kommando-og-kontroll (C2) server, avslørte en analyse fra firmaet. XWorm kan utføre et bredt spekter av funksjoner, fra å laste løsepengevare til å fungere som en vedvarende bakdør.
Ytterligere avsløringer avslørte også involveringen av SYK Crypter, et verktøy som ofte brukes til å distribuere skadevarefamilier via Discord-samfunnets chat-plattform. Denne krypteringsmaskinen spilte en rolle i lasting Remcos, en sofistikert fjerntilgangstrojaner (RAT) dyktig til å kontrollere og overvåke Windows-enheter.
Putting EDR on Ice: Under the Hood of the Freeze[.]rs Attack Chain
I sin undersøkelse sporet teamets analyse av kodede algoritmer og API-navn opprinnelsen til denne nye injektoren tilbake til Red Team-verktøyet «Freeze.rs», designet eksplisitt for å lage nyttelaster som kan omgå EDR-sikkerhetstiltak.
"Denne filen omdirigerer til en HTML-fil og bruker 'search-ms'-protokollen for å få tilgang til en LNK-fil på en ekstern server," et firmablogginnlegg forklarte. "Når du klikker på LNK-filen, kjører et PowerShell-skript Freeze[.]rs og SYK Crypter for ytterligere støtende handlinger."
Cara Lin, forsker, FortiGuard Labs, forklarer at Freeze[.]rs-injektoren kaller NT-syscalls for å injisere skallkoden, og hopper over standardkallene som er i Kernel base dll, som kan være koblet.
"De bruker den lille forsinkelsen som oppstår før en EDR begynner å koble og endre sammenstillingen av system-DLL-er i en prosess," sier hun. "Hvis en prosess er opprettet i en suspendert tilstand, har den minimale DLL-er lastet, og ingen EDR-spesifikke DLL-er lastes, noe som indikerer at syscallene i Ntdll.dll forblir uendret."
Lin forklarer at angrepskjeden er initiert gjennom en PDF-fil som er fanget i en booby-fangst, som fungerer sammen med en "search-ms"-protokoll for å levere nyttelasten.
Denne JavaScript-koden brukte "search-ms"-funksjonaliteten for å avsløre LNK-filen som ligger på en ekstern server.
"Search-ms"-protokollen kan omdirigere brukere til en ekstern server via et Windows Explorer-vindu.
"Ved bruk av en villedende LNK-fil forkledd som et PDF-ikon, kan den lure ofre til å tro at filen stammer fra deres eget system og er legitim," bemerker hun.
I mellomtiden "kopierer SYK Crypter seg selv til oppstartsmappen for utholdenhet, krypterer konfigurasjonen under koding og dekrypterer den ved kjøring, og krypterer også den komprimerte nyttelasten i ressursen for tilsløring," legger hun til.
En nedlaster brukes sammen med koding i det første laget, og deretter involverer et andre lag strengobfuskering og nyttelastkryptering.
"Denne flerlagsstrategien er designet for å øke kompleksiteten og utfordringen for statisk analyse," sier hun. "Til slutt kan den avslutte seg selv ved å gjenkjenne en spesifikk sikkerhetsleverandør."
Slik forsvarer du deg mot phishing-risiko
Phishing og andre meldingsbaserte angrep fortsette å være en gjennomgripende trussel, med 97 % av selskapene som har sett minst ett phishing-angrep på e-post de siste 12 månedene og tre fjerdedeler av bedriftene forventer betydelige kostnader ved et e-postbasert angrep.
Phishing-angrep blir smartere og mer målrettet, tilpasser seg ny teknologi og brukeratferd, og utvikler seg til å inkludere mobile utnyttelser, merkevareetterligning og AI-generert innhold.
Forskningen påpeker at det er avgjørende å opprettholde oppdatert programvare for å redusere risikoer, gi regelmessig opplæring og bruke avanserte sikkerhetsverktøy for forsvar for å motvirke den voksende trusselen om phishing-angrep.
Phishing-simuleringsopplæring for ansatte ser ut til å fungere bedre i kritiske infrastrukturorganisasjoner enn det gjør på tvers av andre sektorer, med 66 % av de ansatte som korrekt rapporterte minst ett ekte ondsinnet e-postangrep innen et år med opplæring, har ny forskning funnet.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- ChartPrime. Hev handelsspillet ditt med ChartPrime. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure
- : har
- :er
- 12
- 12 måneder
- 7
- a
- adgang
- tvers
- skuespill
- handlinger
- Legger
- avansert
- mot
- algoritmer
- sammen
- også
- america
- an
- analyse
- og
- api
- ER
- rundt
- AS
- Montering
- At
- angripe
- Angrep
- tilbake
- backdoor
- basen
- BE
- vært
- før du
- atferd
- tro
- Bedre
- Blogg
- merke
- by
- Samtaler
- Kampanje
- CAN
- stand
- bære
- kjede
- utfordre
- kjemisk
- kode
- Kommunikasjon
- samfunnet
- Selskaper
- Selskapet
- kompleksitet
- Konfigurasjon
- innhold
- kontrollerende
- Kostnader
- Motvirke
- opprettet
- kritisk
- Kritisk infrastruktur
- avgjørende
- forsinkelse
- leverer
- designet
- Gjenkjenning
- Enheter
- disharmoni
- oppdaget
- distribuere
- gjør
- under
- emalje
- ansatte
- kryptering
- Endpoint
- forbedre
- etablere
- Europa
- utvikling
- Utfører
- gjennomføring
- venter
- forklarer
- exploits
- explorer
- familier
- filet
- Endelig
- Firm
- bedrifter
- Først
- Til
- Fortinet
- funnet
- Frys
- ofte
- fra
- funksjonalitet
- funksjoner
- videre
- få
- panser
- HTML
- HTTPS
- ICE
- ICON
- if
- in
- inkludere
- Inkludert
- industriell
- Infrastruktur
- initiert
- injisere
- inn
- introdusere
- etterforskning
- engasjement
- IT
- DET ER
- selv
- Javascript
- jpg
- Juli
- Labs
- lag
- minst
- legitim
- lin
- lasting
- ligger
- vedlikeholde
- malware
- Kan..
- målinger
- minimal
- Minske
- Mobil
- overvåking
- måneder
- mer
- flerlags
- navn
- Ny
- Nei.
- nord
- nord amerika
- Merknader
- roman
- of
- støtende
- on
- ONE
- or
- opprinnelse
- Annen
- ut
- egen
- Past
- utholdenhet
- phishing
- phishing-angrep
- phishing-angrep
- phishing-kampanje
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- spilt
- Post
- PowerShell
- prosess
- Produkt
- protokollen
- gi
- område
- ransomware
- ROTTE
- ekte
- gjenkjenne
- Rød
- omdirigere
- regelmessig
- forbli
- fjernkontroll
- fjerntilgang
- Rapportering
- forskning
- forsker
- svar
- avsløre
- Avslørt
- risikoer
- Rolle
- s
- sier
- Sekund
- sektorer
- sikkerhet
- Sikkerhetstiltak
- se
- hun
- signifikant
- simulering
- smartere
- Software
- sofistikert
- Spesialitet
- spesifikk
- Standard
- starter
- oppstart
- Tilstand
- Strategi
- String
- I ettertid
- leverandører
- suspendert
- system
- målrettet
- rettet mot
- mål
- lag
- Teknologi
- enn
- Det
- De
- deres
- de
- denne
- De
- trussel
- Gjennom
- til
- sammen
- verktøy
- verktøy
- Kurs
- Trojan
- etter
- avduket
- up-to-date
- upon
- bruke
- Bruker
- Brukere
- benyttes
- bruker
- leverandør
- av
- ofre
- hvilken
- bred
- Bred rekkevidde
- vindu
- vinduer
- med
- innenfor
- Arbeid
- virker
- år
- zephyrnet