XWorm, Remcos RAT Unikaj EDR, aby zainfekować infrastrukturę krytyczną

Oparta na rdzy wtryskiwacz Freeze[.]rs została uzbrojona w celu wprowadzenia do celów szeregu szkodliwego oprogramowania w ramach wyrafinowanej kampanii phishingowej zawierającej złośliwy plik PDF, który omija wykrywanie i reagowanie na punkty końcowe (EDR).

Kampania została odkryta po raz pierwszy przez laboratoria FortiGuard Labs firmy Fortinet w lipcu i jest skierowana do ofiar w Europie i Ameryce Północnej, w tym do dostawców specjalistycznych produktów chemicznych i przemysłowych.

Jak wykazała analiza firmy, łańcuch ten kończy się ostatecznie załadowaniem szkodliwego oprogramowania XWorm nawiązującego komunikację z serwerem dowodzenia i kontroli (C2). XWorm może wykonywać szeroki zakres funkcji, od ładowania oprogramowania ransomware po działanie jako trwały backdoor.

Dalsze doniesienia ujawniły również zaangażowanie SYK Crypter, narzędzia często wykorzystywanego do dystrybucji rodzin szkodliwego oprogramowania za pośrednictwem platformy czatu społeczności Discord. Ten szyfrator odegrał rolę w ładowaniu Remcos, wyrafinowany trojan zdalnego dostępu (RAT) biegły w kontrolowaniu i monitorowaniu urządzeń z systemem Windows.

Umieszczenie EDR na lodzie: Pod maską łańcucha ataków Freezera

W toku dochodzenia przeprowadzona przez zespół analiza zakodowanych algorytmów i nazw API wyśledziła pochodzenie tego nowatorskiego wtryskiwacza w narzędziu Red Team „Freeze.rs”, zaprojektowanym specjalnie do tworzenia ładunków zdolnych do omijania zabezpieczeń EDR.

„Ten plik przekierowuje do pliku HTML i wykorzystuje protokół „search-ms” w celu uzyskania dostępu do pliku LNK na zdalnym serwerze” – wpis na blogu firmowym wyjaśnione. „Po kliknięciu pliku LNK skrypt PowerShell uruchamia Freeze[.]rs i SYK Crypter w celu podjęcia dalszych ofensywnych działań.”

Cara Lin, badaczka w FortiGuard Labs, wyjaśnia, że ​​wtryskiwacz Freeze[.]rs wywołuje wywołania systemowe NT w celu wstrzyknięcia kodu powłoki, pomijając standardowe wywołania znajdujące się w bazie dll jądra, które mogą być zaczepione.

„Wykorzystują niewielkie opóźnienie, które występuje, zanim EDR zacznie przechwytywać i zmieniać zestaw systemowych bibliotek DLL w procesie” – mówi. „Jeśli proces jest tworzony w stanie zawieszenia, załadowane są do niego minimalne biblioteki DLL i nie są ładowane żadne biblioteki DLL specyficzne dla EDR, co wskazuje, że wywołania systemowe w pliku Ntdll.dll pozostają niezmienione”.

Lin wyjaśnia, że ​​łańcuch ataków jest inicjowany za pośrednictwem pliku PDF zawierającego miny-pułapki, który współpracuje z protokołem „search-ms” w celu dostarczenia ładunku.

W tym kodzie JavaScript wykorzystano funkcję „search-ms” w celu ujawnienia pliku LNK znajdującego się na zdalnym serwerze.

Protokół „search-ms” może przekierowywać użytkowników na zdalny serwer za pośrednictwem okna Eksploratora Windows.

„Wykorzystując zwodniczy plik LNK podszywający się pod ikonę PDF, może oszukać ofiary, aby uwierzyły, że plik pochodzi z ich własnego systemu i jest legalny” – zauważa.

Tymczasem „SYK Crypter kopiuje się do folderu Startup w celu zachowania trwałości, szyfruje konfigurację podczas kodowania i odszyfrowuje ją po wykonaniu, a także szyfruje skompresowany ładunek w zasobie w celu zaciemnienia” – dodaje.

Narzędzie do pobierania jest wykorzystywane wraz z kodowaniem w pierwszej warstwie, a następnie druga warstwa obejmuje zaciemnianie ciągów znaków i szyfrowanie ładunku.

„Ta wielowarstwowa strategia została zaprojektowana w celu zwiększenia złożoności i zwiększenia wyzwań związanych z analizą statyczną” – mówi. „Wreszcie może zakończyć się sam po rozpoznaniu konkretnego dostawcy zabezpieczeń”.

Jak się bronić przed rosnącym ryzykiem phishingu

Phishing i inne ataki oparte na wiadomościach nadal stanowią wszechobecne zagrożenie, przy czym 97% firm doświadczyło co najmniej jednego ataku phishingowego za pośrednictwem poczty e-mail w ciągu ostatnich 12 miesięcy, a trzy czwarte firm spodziewa się znacznych kosztów ataku za pośrednictwem poczty elektronicznej.

Ataki phishingowe stają się coraz inteligentniejsze i bardziej ukierunkowane, dostosowują się do nowych technologii i zachowań użytkowników, ewoluują, obejmując exploity mobilne, podszywanie się pod markę i treści generowane przez sztuczną inteligencję.

W badaniu zauważono, że niezwykle istotne jest utrzymywanie aktualnego oprogramowania w celu ograniczenia ryzyka, zapewnianie regularnych szkoleń i korzystanie z zaawansowanych narzędzi bezpieczeństwa w celu przeciwdziałania rosnącemu zagrożeniu atakami typu phishing.

Szkolenie z symulacji phishingu dla pracowników wydaje się działać lepiej w organizacjach zajmujących się infrastrukturą krytyczną niż w innych sektorach – jak wykazały nowe badania, 66% tych pracowników poprawnie zgłosiło co najmniej jeden prawdziwy złośliwy atak e-mail w ciągu roku szkolenia.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure