XWorm, Remcos RAT unngår EDR-er for å infisere kritisk infrastruktur

Den rustbaserte injektoren Freeze[.]rs har blitt bevæpnet for å introdusere en rekke skadelig programvare til mål, i en sofistikert phishing-kampanje som inneholder en ondsinnet PDF-fil som omgår endepunktsdeteksjon og -respons (EDR).

Kampanjen ble først oppdaget av Fortinets FortiGuard Labs i juli, og retter seg mot ofre over hele Europa og Nord-Amerika, inkludert leverandører av spesialkjemikalier eller industriprodukter.

Til slutt kulminerer denne kjeden i lasting av XWorm malware som etablerer kommunikasjon med en kommando-og-kontroll (C2) server, avslørte en analyse fra firmaet. XWorm kan utføre et bredt spekter av funksjoner, fra å laste løsepengevare til å fungere som en vedvarende bakdør.

Ytterligere avsløringer avslørte også involveringen av SYK Crypter, et verktøy som ofte brukes til å distribuere skadevarefamilier via Discord-samfunnets chat-plattform. Denne krypteringsmaskinen spilte en rolle i lasting Remcos, en sofistikert fjerntilgangstrojaner (RAT) dyktig til å kontrollere og overvåke Windows-enheter.

Putting EDR on Ice: Under the Hood of the Freeze[.]rs Attack Chain

I sin undersøkelse sporet teamets analyse av kodede algoritmer og API-navn opprinnelsen til denne nye injektoren tilbake til Red Team-verktøyet «Freeze.rs», designet eksplisitt for å lage nyttelaster som kan omgå EDR-sikkerhetstiltak.

"Denne filen omdirigerer til en HTML-fil og bruker 'search-ms'-protokollen for å få tilgang til en LNK-fil på en ekstern server," et firmablogginnlegg forklarte. "Når du klikker på LNK-filen, kjører et PowerShell-skript Freeze[.]rs og SYK Crypter for ytterligere støtende handlinger."

Cara Lin, forsker, FortiGuard Labs, forklarer at Freeze[.]rs-injektoren kaller NT-syscalls for å injisere skallkoden, og hopper over standardkallene som er i Kernel base dll, som kan være koblet.

"De bruker den lille forsinkelsen som oppstår før en EDR begynner å koble og endre sammenstillingen av system-DLL-er i en prosess," sier hun. "Hvis en prosess er opprettet i en suspendert tilstand, har den minimale DLL-er lastet, og ingen EDR-spesifikke DLL-er lastes, noe som indikerer at syscallene i Ntdll.dll forblir uendret."

Lin forklarer at angrepskjeden er initiert gjennom en PDF-fil som er fanget i en booby-fangst, som fungerer sammen med en "search-ms"-protokoll for å levere nyttelasten.

Denne JavaScript-koden brukte "search-ms"-funksjonaliteten for å avsløre LNK-filen som ligger på en ekstern server.

"Search-ms"-protokollen kan omdirigere brukere til en ekstern server via et Windows Explorer-vindu.

"Ved bruk av en villedende LNK-fil forkledd som et PDF-ikon, kan den lure ofre til å tro at filen stammer fra deres eget system og er legitim," bemerker hun.

I mellomtiden "kopierer SYK Crypter seg selv til oppstartsmappen for utholdenhet, krypterer konfigurasjonen under koding og dekrypterer den ved kjøring, og krypterer også den komprimerte nyttelasten i ressursen for tilsløring," legger hun til.

En nedlaster brukes sammen med koding i det første laget, og deretter involverer et andre lag strengobfuskering og nyttelastkryptering.

"Denne flerlagsstrategien er designet for å øke kompleksiteten og utfordringen for statisk analyse," sier hun. "Til slutt kan den avslutte seg selv ved å gjenkjenne en spesifikk sikkerhetsleverandør."

Slik forsvarer du deg mot phishing-risiko

Phishing og andre meldingsbaserte angrep fortsette å være en gjennomgripende trussel, med 97 % av selskapene som har sett minst ett phishing-angrep på e-post de siste 12 månedene og tre fjerdedeler av bedriftene forventer betydelige kostnader ved et e-postbasert angrep.

Phishing-angrep blir smartere og mer målrettet, tilpasser seg ny teknologi og brukeratferd, og utvikler seg til å inkludere mobile utnyttelser, merkevareetterligning og AI-generert innhold.

Forskningen påpeker at det er avgjørende å opprettholde oppdatert programvare for å redusere risikoer, gi regelmessig opplæring og bruke avanserte sikkerhetsverktøy for forsvar for å motvirke den voksende trusselen om phishing-angrep.

Phishing-simuleringsopplæring for ansatte ser ut til å fungere bedre i kritiske infrastrukturorganisasjoner enn det gjør på tvers av andre sektorer, med 66 % av de ansatte som korrekt rapporterte minst ett ekte ondsinnet e-postangrep innen et år med opplæring, har ny forskning funnet.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• ChartPrime. Hev handelsspillet ditt med ChartPrime. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure