Den Rust-baserade injektorn Freeze[.]rs har vapenbehandlats för att introducera en mängd skadlig programvara till mål, i en sofistikerad nätfiskekampanj som innehåller en skadlig PDF-fil som tar sig runt endpoint detection and response (EDR).
Kampanjen upptäcktes först av Fortinets FortiGuard Labs i juli och riktar sig till offer över hela Europa och Nordamerika, inklusive leverantörer av specialkemikalier eller industriprodukter.
Så småningom kulminerar denna kedja i laddningen av XWorm skadlig kod som etablerar kommunikation med en kommando-och-kontroll-server (C2), avslöjade en analys av företaget. XWorm kan utföra ett brett utbud av funktioner, från att ladda ransomware till att fungera som en beständig bakdörr.
Ytterligare avslöjanden avslöjade också involveringen av SYK Crypter, ett verktyg som ofta används för att distribuera skadlig programvara via Discord-gemenskapens chattplattform. Denna kryptering spelade en roll vid laddningen Remcos, en sofistikerad trojan för fjärråtkomst (RAT) skicklig på att kontrollera och övervaka Windows-enheter.
Putting EDR on Ice: Under the Hood of the Freeze[.]rs Attack Chain
I sin undersökning spårade teamets analys av kodade algoritmer och API-namn ursprunget till denna nya injektor tillbaka till Red Team-verktyget "Freeze.rs", designat uttryckligen för att skapa nyttolaster som kan kringgå EDR-säkerhetsåtgärder.
"Den här filen omdirigerar till en HTML-fil och använder 'search-ms'-protokollet för att komma åt en LNK-fil på en fjärrserver", ett företagsblogginlägg förklarade. "När du klickar på LNK-filen kör ett PowerShell-skript Freeze[.]rs och SYK Crypter för ytterligare stötande åtgärder."
Cara Lin, forskare, FortiGuard Labs, förklarar att Freeze[.]rs-injektorn anropar NT-syscalls för att injicera skalkoden, och hoppar över standardanropen som finns i Kernel base dll, som kan vara anslutna.
"De använder den lilla fördröjningen som uppstår innan en EDR börjar koppla och ändra sammansättningen av system-DLL:er inom en process", säger hon. "Om en process skapas i ett avstängt tillstånd har den minimala DLL-filer inlästa och inga EDR-specifika DLL-filer laddas, vilket indikerar att syscalls i Ntdll.dll förblir oförändrade."
Lin förklarar att attackkedjan initieras genom en booby-fälld PDF-fil, som fungerar tillsammans med ett "search-ms"-protokoll för att leverera nyttolasten.
Denna JavaScript-kod använde "search-ms"-funktionen för att avslöja LNK-filen som finns på en fjärrserver.
"Search-ms"-protokollet kan omdirigera användare till en fjärrserver via ett Windows Explorer-fönster.
"Genom att använda en vilseledande LNK-fil förklädd som en PDF-ikon kan den lura offer att tro att filen kommer från deras eget system och är legitim", konstaterar hon.
Samtidigt "kopierar SYK Crypter sig själv till Startup-mappen för beständighet, krypterar konfigurationen under kodning och dekrypterar den vid körning, och krypterar även den komprimerade nyttolasten i resursen för fördunkling," tillägger hon.
En nedladdare används tillsammans med kodning i det första lagret och därefter involverar ett andra lager strängobfuskering och nyttolastkryptering.
"Denna flerskiktsstrategi är utformad för att öka komplexiteten och utmaningen för statisk analys", säger hon. "Äntligen kan den avsluta sig själv när den känner igen en specifik säkerhetsleverantör."
Hur man försvarar sig mot monteringsrisk för nätfiske
Nätfiske och andra meddelandebaserade attacker fortsätter att vara ett genomgripande hot, med 97 % av företagen som sett minst en e-postnätfiskeattack under de senaste 12 månaderna och tre fjärdedelar av företagen förväntar sig betydande kostnader från en e-postbaserad attack.
Phishing-attacker blir smartare och mer målinriktade, anpassar sig till ny teknik och användarbeteende, och utvecklas till att inkludera mobila exploits, varumärkesefterbildning och AI-genererat innehåll.
Forskningen konstaterar att det är avgörande att upprätthålla uppdaterad programvara för att minska risker, tillhandahålla regelbunden utbildning och använda avancerade säkerhetsverktyg för försvar för att motverka det växande hotet från nätfiskeattacker.
Nätfiske-simuleringsträning för anställda verkar fungera bättre i organisationer med kritisk infrastruktur än vad det gör inom andra sektorer, med 66 % av de anställda som korrekt rapporterar minst en verklig skadlig e-postattack inom ett års utbildning, har ny forskning visat.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- ChartPrime. Höj ditt handelsspel med ChartPrime. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure
- : har
- :är
- 12
- 12 månader
- 7
- a
- tillgång
- tvärs
- verkande
- åtgärder
- Lägger
- avancerat
- mot
- algoritmer
- vid sidan av
- också
- amerika
- an
- analys
- och
- api
- ÄR
- runt
- AS
- Montage
- At
- attackera
- Attacker
- tillbaka
- bakdörr
- bas
- BE
- varit
- innan
- beteende
- tro
- Bättre
- Blogg
- varumärke
- by
- Samtal
- Kampanj
- KAN
- kapabel
- bära
- kedja
- utmanar
- kemisk
- koda
- Kommunikation
- samfundet
- Företag
- företag
- Komplexiteten
- konfiguration
- innehåll
- styrning
- Kostar
- Motverka
- skapas
- kritisk
- Kritisk infrastruktur
- avgörande
- fördröja
- leverera
- utformade
- Detektering
- enheter
- oenighet
- upptäckt
- distribuera
- gör
- under
- anställda
- kryptering
- Slutpunkt
- förbättra
- upprättandet
- Europa
- utvecklas
- Utför
- utförande
- väntar
- Förklarar
- bedrifter
- explorer
- familjer
- Fil
- Slutligen
- Firm
- företag
- Förnamn
- För
- Fortinet
- hittade
- Frys
- ofta
- från
- funktionalitet
- funktioner
- ytterligare
- få
- huva
- html
- HTTPS
- IS
- IKON
- if
- in
- innefattar
- Inklusive
- industriell
- Infrastruktur
- initieras
- injicerbart
- in
- införa
- Undersökningen
- inblandning
- IT
- DESS
- sig
- JavaScript
- jpg
- Juli
- Labs
- lager
- t minst
- legitim
- Lin
- läser in
- belägen
- bibehålla
- malware
- Maj..
- åtgärder
- minimum
- Mildra
- Mobil
- övervakning
- månader
- mer
- flera lager
- namn
- Nya
- Nej
- Nord
- nordamerika
- Anmärkningar
- roman
- of
- offensiv
- on
- ONE
- or
- ursprung
- Övriga
- ut
- egen
- Tidigare
- persistens
- Nätfiske
- phishing-attack
- phishingattacker
- phishing-kampanj
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- spelat
- Inlägg
- Power
- process
- Produkt
- protokoll
- ge
- område
- Ransomware
- RÅTTA
- verklig
- känna igen
- Red
- dirigera om
- regelbunden
- förblir
- avlägsen
- fjärråtkomst
- Rapportering
- forskning
- forskaren
- respons
- avslöjar
- avslöjade
- risker
- Roll
- s
- säger
- Andra
- Sektorer
- säkerhet
- Säkerhetsåtgärder
- se
- hon
- signifikant
- simulering
- smartare
- Mjukvara
- sofistikerade
- Specialitet
- specifik
- standard
- startar
- start
- Ange
- Strategi
- Sträng
- Senare
- leverantörer
- suspenderades
- system
- riktade
- targeting
- mål
- grupp
- Teknologi
- än
- den där
- Smakämnen
- deras
- de
- detta
- de
- hot
- Genom
- till
- tillsammans
- verktyg
- verktyg
- Utbildning
- Trojan
- under
- avtäckt
- TIDSENLIG
- på
- användning
- Användare
- användare
- utnyttjas
- Återvinnare
- leverantör
- via
- offer
- som
- bred
- Brett utbud
- fönster
- fönster
- med
- inom
- Arbete
- fungerar
- år
- zephyrnet
