Складна група загроз, що стоїть за складним трояном віддаленого доступу JavaScript (RAT), відомим як JSOutProx, випустила нову версію зловмисного програмного забезпечення для організацій на Близькому Сході.
Компанія Resecurity, яка надає послуги з кібербезпеки, проаналізувала технічні деталі кількох інцидентів, пов’язаних із шкідливим програмним забезпеченням JSOutProx, націленим на фінансових клієнтів і надаючим або фальшиве сповіщення про платіж SWIFT, якщо націлене на підприємство, або шаблон MoneyGram, націлене на приватних громадян, пише компанія в звіті, опублікованому цього тижня. Група загроз націлилася на урядові організації в Індії та Тайвані, а також фінансові організації на Філіппінах, Лаосі, Сінгапурі, Малайзії, Індії — і зараз Саудівська Аравія.
Найновіша версія JSOutProx є дуже гнучкою та добре організованою програмою з точки зору розробки, що дозволяє зловмисникам адаптувати її функціональність до конкретного середовища жертви, каже Джин Ю, генеральний директор Resecurity.
«Це імплантат шкідливого програмного забезпечення з кількома етапами та кількома плагінами», — каже він. «Залежно від середовища жертви, він потрапляє прямо всередину, а потім фактично знекровлює їх або отруює середовище, залежно від того, які плагіни ввімкнено».
Ці атаки є останньою кампанією групи кіберзлочинців, відомої як Solar Spider, яка, здається, єдина група, яка використовує шкідливе програмне забезпечення JSOutProx. Виходячи з цілей групи — як правило, організації в Індії, а також в Азіатсько-Тихоокеанському регіоні, Африці та Регіони Близького Сходу — ймовірно, це пов’язано з Китаєм, Про це йдеться в аналізі безпеки.
«Профілюючи цілі та деякі деталі, які ми отримали в інфраструктурі, ми підозрюємо, що це пов’язано з Китаєм», — каже Ю.
«Сильно заплутаний … Модульний плагін»
JSOutProx добре відомий у фінансовій галузі. Visa, наприклад, задокументувала кампанії з використанням інструменту атаки в 2023 році, в тому числі спрямовану на кілька банків в Азіатсько-Тихоокеанському регіоні, заявила компанія в свій піврічний звіт про загрози, опублікований у грудні.
Троян віддаленого доступу (RAT) — це «дуже затуманений бекдор JavaScript, який має можливості модульного плагіна, може запускати команди оболонки, завантажувати, завантажувати та виконувати файли, маніпулювати файловою системою, встановлювати постійність, робити знімки екрана та маніпулювати клавіатурою та мишею. події», – йдеться у звіті Visa. «Ці унікальні функції дозволяють шкідливому програмному забезпеченню уникати виявлення систем безпеки та отримувати різноманітну конфіденційну платіжну та фінансову інформацію від цільових фінансових установ.
JSOutProx зазвичай відображається як PDF-файл фінансового документа в архіві zip. Але насправді, коли жертва відкриває файл, виконується JavaScript. Перший етап атаки збирає інформацію про систему та зв’язується з командно-контрольними серверами, обфускованими через динамічний DNS. На другому етапі атаки завантажується будь-який із приблизно 14 плагінів для подальших атак, включаючи отримання доступу до Outlook і списку контактів користувача, а також увімкнення або вимкнення проксі-серверів у системі.
RAT завантажує плагіни з GitHub — або нещодавно GitLab — щоб виглядати легітимними.
«Відкриття нової версії JSOutProx у поєднанні з використанням таких платформ, як GitHub і GitLab, підкреслює невпинні зусилля та витончену послідовність цих зловмисників», — йдеться в аналізі Resecurity.
Монетизація даних з фінансових звітів Близького Сходу
Як тільки Solar Spider скомпрометує користувача, зловмисники збирають інформацію, таку як номери основних облікових записів та облікові дані користувача, а потім здійснюють різноманітні зловмисні дії проти жертви, згідно зі звітом Visa про загрози.
«Шкідливе програмне забезпечення JSOutProx становить серйозну загрозу для фінансових установ у всьому світі, особливо тих, що знаходяться в регіоні AP, оскільки ці організації частіше стають мішенями цього шкідливого програмного забезпечення», — йдеться у звіті Visa.
Компанії повинні навчити співробітників тому, як поводитися з небажаною, підозрілою кореспонденцією, щоб зменшити загрозу зловмисного програмного забезпечення, заявила Visa. Крім того, будь-який екземпляр шкідливого програмного забезпечення має бути досліджено та повністю виправлено, щоб запобігти повторному зараженню.
Великі компанії та державні установи з більшою ймовірністю піддадуться нападам групи, оскільки Solar Spider прицілився до найуспішніших фірм, каже Ю з Resecurity. Здебільшого, однак, компаніям не потрібно вживати конкретних заходів щодо загроз, а замість цього зосереджуються на стратегіях глибокого захисту, каже він.
«Користувач повинен зосередитися не на тому, щоб дивитися на блискучий об’єкт у небі, як китайці атакують, а на тому, що йому потрібно зробити, це створити кращу основу», — каже Ю. «Наявність хороших виправлень, сегментації мережі та управління вразливістю. Якщо ви це зробите, то ніщо з цього не вплине на ваших користувачів.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
- : має
- :є
- : ні
- 14
- 2023
- 7
- a
- МЕНЮ
- доступ
- За
- рахунки
- дії
- насправді
- доповнення
- Африка
- проти
- агентства
- дозволяти
- Дозволити
- Також
- an
- аналіз
- проаналізовані
- та
- будь-який
- з'являтися
- з'являється
- архів
- ЕСТЬ
- навколо
- AS
- At
- атака
- Атакуючий
- нападки
- закулісний
- Банки
- заснований
- BE
- оскільки
- було
- за
- Краще
- але
- by
- Кампанія
- Кампанії
- CAN
- можливості
- Генеральний директор
- Китай
- китайський
- громадяни
- збирати
- збирає
- Компанії
- компанія
- повністю
- комплекс
- Проводити
- контакт
- з'єднаний
- створювати
- Повноваження
- Клієнти
- КІБЕРЗЛОЧИНЦІВ
- дані
- надання
- Залежно
- деталі
- Виявлення
- розробка
- відкриття
- DNS
- do
- документ
- Дон
- скачати
- завантажень
- динамічний
- Схід
- виховувати
- зусилля
- або
- підкреслює
- співробітників
- включений
- дозволяє
- підприємство
- юридичні особи
- Навколишнє середовище
- особливо
- встановити
- Втеча
- Події
- приклад
- виконувати
- Виконує
- експлуатація
- підроблений
- риси
- філе
- Файли
- фінансовий
- фінансова інформація
- Фінансові установи
- фінансові
- Фірма
- фірми
- Перший
- гнучкий
- Сфокусувати
- для
- фонд
- часто
- від
- функціональність
- далі
- набирає
- GitHub
- йде
- добре
- Уряд
- державні установи
- Group
- обробляти
- Мати
- має
- he
- дуже
- Як
- How To
- Однак
- HTTPS
- if
- Impact
- in
- У тому числі
- Індію
- промисловість
- інформація
- Інфраструктура
- екземпляр
- замість
- установи
- за участю
- IT
- ЙОГО
- JavaScript
- JPG
- відомий
- laos
- останній
- законний
- як
- Ймовірно
- пов'язаний
- список
- шукати
- Малайзія
- malicious
- шкідливих програм
- управління
- Середній
- середній Схід
- Пом'якшити
- модульний
- MoneyGram
- більше
- найбільш
- множинний
- повинен
- Необхідність
- мережу
- Нові
- новітній
- ніхто
- сповіщення
- зараз
- номера
- об'єкт
- отримувати
- отриманий
- of
- on
- ONE
- тільки
- Відкриється
- or
- організації
- прогноз
- частина
- Виправлення
- оплата
- наполегливість
- перспектива
- Філіппіни
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- підключати
- plugins
- позах
- запобігати
- первинний
- приватний
- профілювання
- програма
- опублікований
- ЩУР
- насправді
- нещодавно
- регіон
- пов'язаний
- випущений
- невблаганна
- віддалений
- Віддалений доступ
- звітом
- право
- прогін
- s
- Зазначений
- Саудівська
- Саудівська Аравія
- говорить
- скріншоти
- другий
- безпеку
- сегментація
- чутливий
- серйозний
- Сервери
- Послуги
- кілька
- Склад
- Повинен
- Визначні пам'ятки
- Сінгапур
- Sky
- сонячний
- деякі
- складний
- конкретний
- Стажування
- етапи
- заявив,
- заходи
- стратегії
- успішний
- такі
- підозрілі
- SWIFT
- система
- Systems
- кравець
- Taiwan
- Приймати
- Мета
- цільове
- націлювання
- цілі
- технічний
- шаблон
- Що
- Команда
- Філіппіни
- світ
- Їх
- потім
- Ці
- вони
- це
- На цьому тижні
- ті
- загроза
- Звіт про загрози
- загрози
- до
- інструмент
- троянець
- типово
- створеного
- незатребуваної
- користувач
- користувачі
- використання
- різноманітність
- версія
- дуже
- через
- Жертва
- visa
- вразливість
- we
- week
- ДОБРЕ
- Що
- коли
- який
- з
- світ
- б
- пише
- Ти
- вашу
- зефірнет
- Zip