Nov nevaren nalagalnik zlonamerne programske opreme s funkcijami za ugotavljanje, ali je v poslovnem sistemu ali osebnem računalniku, je v zadnjih nekaj mesecih začel hitro okuževati sisteme po vsem svetu.
Raziskovalci pri VMware Carbon Black sledijo grožnji, poimenovani BatLoader, in pravijo, da njeni operaterji uporabljajo kapalko za distribucijo različnih orodij zlonamerne programske opreme, vključno z bančnim trojancem, krajo informacij in kompletom orodij Cobalt Strike po izkoriščanju v sistemih žrtev. Taktika akterja grožnje je bila gostovanje zlonamerne programske opreme na ogroženih spletnih mestih in zvabljanje uporabnikov na ta spletna mesta z uporabo metod zastrupitve z optimizacijo iskalnikov (SEO).
Živeti od zemlje
BatLoader se v veliki meri zanaša na paketne skripte in skripte PowerShell, da pridobi prvotno oporo na žrtvi in vanj prenese drugo zlonamerno programsko opremo. To je naredilo kampanjo težko zaznati in blokirati, zlasti v zgodnjih fazah, so v poročilu, objavljenem 14. novembra, zapisali analitiki iz ekipe za upravljano odkrivanje in odziv (MDR) VMware Carbon Black.
VMware je dejal, da je njihova ekipa Carbon Black MDR opazila 43 uspešnih okužb v zadnjih 90 dneh, poleg številnih drugih neuspešnih poskusov, kjer je žrtev prenesla začetno datoteko okužbe, vendar je ni izvršila. Devet žrtev je bilo organizacij v sektorju poslovnih storitev, sedem je bilo podjetij za finančne storitve, pet pa jih je bilo v proizvodnji. Druge žrtve so bile organizacije v izobraževalnem, maloprodajnem, IT in zdravstvenem sektorju.
9. novembra je eSentire sporočil, da je njegova ekipa za lov na grožnje opazila, kako operater BatLoader zvabi žrtve na spletna mesta, ki se predstavljajo kot strani za prenos priljubljene poslovne programske opreme, kot so LogMeIn, Zoom, TeamViewer in AnyDesk. Akter grožnje je razdelil povezave do teh spletnih mest prek oglasov, ki so bili vidno prikazani v rezultatih iskalnikov ko so uporabniki iskali katerega od teh programskih izdelkov.
Prodajalec varnosti je dejal, da je v enem incidentu konec oktobra stranka eSentire prispela na lažno stran za prenos LogMeIn in prenesla namestitveni program za Windows, ki med drugim profilira sistem in uporablja informacije za pridobitev koristnega tovora druge stopnje.
»Zaradi česar je BatLoader zanimiv, je, da ima vgrajeno logiko, ki določa, ali je žrtev računalnik osebni ali poslovni računalnik,« pravi Keegan Keplinger, vodja raziskav in poročanja pri raziskovalni skupini eSentire TRU. "Nato spusti vrsto zlonamerne programske opreme, ki je primerna za situacijo."
Selektivna dostava tovora
Na primer, če BatLoader zadene osebni računalnik, prenese bančno zlonamerno programsko opremo Ursnif in krajo informacij Vidar. Če zadene domenski ali poslovni računalnik, prenese Cobalt Strike in orodje za oddaljen nadzor in upravljanje Syncro, poleg bančnega trojanca in krajca informacij.
"Če BatLoader pristane na osebnem računalniku, bo nadaljeval z goljufijami, krajo informacij in koristnimi obremenitvami, ki temeljijo na bančništvu, kot je Ursnif," pravi Keegan. "Če BatLoader zazna, da je v organizacijskem okolju, bo nadaljeval z orodji za vdore, kot sta Cobalt Strike in Syncro."
Keegan pravi, da je eSentire opazil "veliko" nedavnih kibernetskih napadov, ki vključujejo BatLoader. Večina napadov je oportunističnih in prizadene vsakogar, ki išče zaupanja vredna in priljubljena brezplačna programska orodja.
»Da bi prišel pred organizacije, BatLoader izkorišča zastrupljene oglase, tako da zaposleni, ko iščejo zaupanja vredno brezplačno programsko opremo, kot sta LogMeIn in Zoom, namesto tega pristanejo na spletnih mestih, ki jih nadzorujejo napadalci, in zagotavljajo BatLoader.«
Prekriva se s Conti, ZLoader
VMware Carbon Black je povedal, da čeprav je več vidikov kampanje BatLoader edinstvenih, obstaja tudi več atributov verige napadov, ki so podobni Conti ransomware delovanje.
Prekrivanja vključujejo naslov IP, ki ga je skupina Conti uporabila v kampanji, ki je izkoriščala ranljivost Log4j, in uporabo orodja za oddaljeno upravljanje, imenovanega Atera, ki ga je Conti uporabil v prejšnjih operacijah.
Poleg podobnosti s Contijem ima BatLoader tudi več prekrivanj Zloader, bančni trojanec ki se zdi, da izhaja iz bančnega trojanca Zeus iz zgodnjih 2000-ih, je dejal prodajalec varnosti. Največje podobnosti vključujejo uporabo zastrupitve SEO za zvabljanje žrtev na spletna mesta, polna zlonamerne programske opreme, uporabo programa Windows Installer za vzpostavitev začetne opore in uporabo lupine PowerShell, paketnih skriptov in drugih izvornih binarnih datotek OS med verigo napada.
Mandiant je prvi poročal o BatLoaderju. V objavi v spletnem dnevniku februarja je prodajalec varnosti poročal, da je opazil akterja grožnje, ki uporablja teme »brezplačna namestitev aplikacij za produktivnost« in »brezplačna namestitev orodij za razvoj programske opreme« kot ključne besede SEO, da bi privabil uporabnike k prenosu spletnih mest.
»Ta prvotni kompromis BatLoaderja je bil začetek večstopenjske verige okužb ki napadalcem zagotavlja oporo znotraj ciljne organizacije,« je dejal Mandiant. Napadalci so uporabili vsako stopnjo za nastavitev naslednje faze verige napadov z orodji, kot so PowerShell, Msiexec.exe in Mshta.exe, da bi se izognili odkrivanju.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
