XWorm, Remcos RAT Evade EDRs za okužbo kritične infrastrukture

Injektor Freeze[.]rs, ki temelji na Rust-u, je bil orožje za uvedbo množice zlonamerne programske opreme tarčam v prefinjeni kampanji lažnega predstavljanja, ki vsebuje zlonamerno datoteko PDF, ki zaobide zaznavanje in odziv končne točke (EDR).

Kampanja, ki so jo julija prvič odkrili Fortinetovi FortiGuard Labs, cilja na žrtve po vsej Evropi in Severni Ameriki, vključno z dobavitelji posebnih kemikalij ali industrijskih izdelkov.

Sčasoma se ta veriga zaključi z nalaganjem zlonamerne programske opreme XWorm, ki vzpostavi komunikacijo s strežnikom za ukazovanje in nadzor (C2), je pokazala analiza podjetja. XWorm lahko izvaja široko paleto funkcij, od nalaganja izsiljevalske programske opreme do delovanja kot trajna stranska vrata.

Nadaljnja razkritja so razkrila tudi vpletenost SYK Crypter, orodja, ki se pogosto uporablja za distribucijo družin zlonamerne programske opreme prek platforme za klepet skupnosti Discord. Ta šifrant je igral vlogo pri nalaganju Remcos, sofisticiran trojanec za oddaljeni dostop (RAT) spreten pri nadzoru in spremljanju naprav Windows.

Uvajanje EDR na led: pod pokrovom verige napadov Freeze[.]rs

V svoji preiskavi je timska analiza kodiranih algoritmov in imen API-jev izsledila izvor tega novega injektorja nazaj do orodja Red Team »Freeze.rs«, zasnovanega izrecno za izdelavo koristnih obremenitev, ki lahko zaobidejo varnostne ukrepe EDR.

»Ta datoteka preusmeri na datoteko HTML in uporablja protokol 'search-ms' za dostop do datoteke LNK na oddaljenem strežniku,« objava v spletnem dnevniku podjetja razložiti. "Po kliku na datoteko LNK skript PowerShell izvede Freeze[.]rs in SYK Crypter za nadaljnja žaljiva dejanja."

Cara Lin, raziskovalka, FortiGuard Labs, pojasnjuje, da injektor Freeze[.]rs kliče sistemske klice NT, da vbrizga lupinsko kodo, pri čemer preskoči standardne klice, ki so v bazi jedra dll, ki je lahko zasvojen.

»Uporabljajo majhno zakasnitev, ki se pojavi, preden se EDR začne povezovati in spreminjati sestav sistemskih DLL znotraj procesa,« pravi. »Če je proces ustvarjen v začasno ustavljenem stanju, ima naloženih najmanj DLL-jev in se ne naložijo nobeni DLL-ji, specifični za EDR, kar kaže, da sistemski klici znotraj Ntdll.dll ostanejo nespremenjeni.«

Lin pojasnjuje, da se veriga napadov sproži prek datoteke PDF z miniranimi pastmi, ki deluje skupaj s protokolom »search-ms« za dostavo tovora.

Ta koda JavaScript je uporabila funkcijo »search-ms« za razkrivanje datoteke LNK, ki se nahaja na oddaljenem strežniku.

Protokol »search-ms« lahko preusmeri uporabnike na oddaljeni strežnik prek okna Windows Explorer.

»Z uporabo zavajajoče datoteke LNK, prikrite kot ikona PDF, lahko žrtve zavede, da verjamejo, da datoteka izvira iz njihovega sistema in je zakonita,« ugotavlja.

Medtem se "SYK Crypter prekopira v mapo Startup za obstojnost, šifrira konfiguracijo med kodiranjem in jo dešifrira po izvedbi ter prav tako šifrira stisnjeno koristno vsebino v viru‎‎ za zamegljevanje," dodaja.

Prenosnik se uporablja skupaj s kodiranjem v prvi plasti, nato pa druga plast vključuje zakrivanje nizov in šifriranje koristnega tovora.

»Ta večplastna strategija je zasnovana tako, da poveča kompleksnost in izziv statične analize,« pravi. "Končno se lahko prekine, ko prepozna določenega prodajalca varnosti."

Kako se ubraniti pred naraščajočim tveganjem lažnega predstavljanja

Lažno predstavljanje in drugi napadi na podlagi sporočil še naprej vsesplošna grožnja, pri čemer je 97 % podjetij v zadnjih 12 mesecih opazilo vsaj en napad z lažnim predstavljanjem po e-pošti, tri četrtine podjetij pa pričakuje znatne stroške zaradi napada, ki temelji na e-pošti.

Napadi z lažnim predstavljanjem postajajo pametnejši in bolj ciljno usmerjeni, prilagajajo se novi tehnologiji in vedenju uporabnikov ter se razvijajo tako, da vključujejo izkoriščanja mobilnih naprav, lažno predstavljanje blagovne znamke in vsebino, ki jo ustvari umetna inteligenca.

Raziskava ugotavlja, da je ključnega pomena vzdrževanje posodobljene programske opreme za zmanjšanje tveganj, zagotavljanje rednega usposabljanja in uporaba naprednih varnostnih orodij za obrambo za boj proti razvijajočim se grožnjam lažnega predstavljanja.

Usposabljanje simulacije lažnega predstavljanja za zaposlene zdi se, da deluje bolje v organizacijah kritične infrastrukture kot v drugih sektorjih, pri čemer je 66 % teh zaposlenih pravilno prijavilo vsaj en pravi zlonamerni e-poštni napad v enem letu usposabljanja, je pokazala nova raziskava.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• ChartPrime. Izboljšajte svojo igro trgovanja s ChartPrime. Dostopite tukaj.
• BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
• vir: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure