- 9,680
- 18
- 8 Ноя 2022
Конфиденциальные данные Азии оказались под угрозой после вредоносной рассылки.
Недавние исследования, Для просмотра ссылки Войдиили Зарегистрируйся Check Point Research, раскрыли детали продолжающейся кампании «Stayin' Alive», активной по меньшей мере с 2021 года и нацеленной в основном на телекоммуникационную отрасль и государственные структуры в Азии. Первоначальные векторы заражения направлены на высокопрофильные организации в регионе, включая Казахстан, Узбекистан, Пакистан и Вьетнам. Недавний анализ показал, что данная кампания является частью более широкой угрозы для этого региона.
Основные инструменты кампании — это загрузчики и установщики вредоносного ПО, предназначенные для компрометации систем организаций и эксфильтрации данных. Исследование выявило, что инструментарий кампании характеризуется простотой использования и широким диапазоном вариантов, что свидетельствует о его одноразовом характере для загрузки и запуска дополнительных полезных нагрузок и, вероятно, в основном используются для получения первоначального доступа к системам.
Инструменты не имеют явных связей с разработками известных хакерских группировок, но все они связаны с одной и той же инфраструктурой, которая, в свою очередь, ассоциирована с ToddyCat — угрозой, имеющей связь с Китаем и функционирующей в азиатском регионе.
Важно отметить, что цепочка заражения начинается с фишингового электронного письма, отправленного в сентябре 2022 года вьетнамской телекоммуникационной компании, с ZIP-архивом во вложении. Тема письма переводится как «ИНСТРУКЦИИ ПО УПРАВЛЕНИЮ И ИСПОЛЬЗОВАНИЮ: ПРАВИЛА ПОЛЬЗОВАТЕЛЯ, что может указывать на целенаправленный характер кампании.
Архив содержит два файла – исполняемый файл «mDNSResponder.exe», переименованным под тему электронного письма, и загруженная методом DLL Sideloading библиотека «dal_keepalives.dll». Загрузка двух файлов Для просмотра ссылки Войдиили Зарегистрируйся благодаря эксплуатации уязвимости Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 7.8) в программном обеспечении Audinate Dante Discovery.
После установки вредоносных файлов на устройства доставляются инструменты CurLu Loader, CurCore и CurLog Loader, каждый из которых имеет свои уникальные методы заражения и дальнейшей загрузки вредоносных полезных нагрузок. Основными функциями инструментов является эксфильтрация данных и установление постоянства.
Дополнительно было обнаружено несколько других инструментов, используемых в нападениях на те же цели. Это указывает на то, что кампания «Stayin' Alive», вероятно, представляет собой небольшую часть значительно более крупной операции, использующей множество в настоящее время неизвестных инструментов и методик.
Недавние исследования, Для просмотра ссылки Войди
Основные инструменты кампании — это загрузчики и установщики вредоносного ПО, предназначенные для компрометации систем организаций и эксфильтрации данных. Исследование выявило, что инструментарий кампании характеризуется простотой использования и широким диапазоном вариантов, что свидетельствует о его одноразовом характере для загрузки и запуска дополнительных полезных нагрузок и, вероятно, в основном используются для получения первоначального доступа к системам.
Инструменты не имеют явных связей с разработками известных хакерских группировок, но все они связаны с одной и той же инфраструктурой, которая, в свою очередь, ассоциирована с ToddyCat — угрозой, имеющей связь с Китаем и функционирующей в азиатском регионе.
Важно отметить, что цепочка заражения начинается с фишингового электронного письма, отправленного в сентябре 2022 года вьетнамской телекоммуникационной компании, с ZIP-архивом во вложении. Тема письма переводится как «ИНСТРУКЦИИ ПО УПРАВЛЕНИЮ И ИСПОЛЬЗОВАНИЮ: ПРАВИЛА ПОЛЬЗОВАТЕЛЯ, что может указывать на целенаправленный характер кампании.
Архив содержит два файла – исполняемый файл «mDNSResponder.exe», переименованным под тему электронного письма, и загруженная методом DLL Sideloading библиотека «dal_keepalives.dll». Загрузка двух файлов Для просмотра ссылки Войди
После установки вредоносных файлов на устройства доставляются инструменты CurLu Loader, CurCore и CurLog Loader, каждый из которых имеет свои уникальные методы заражения и дальнейшей загрузки вредоносных полезных нагрузок. Основными функциями инструментов является эксфильтрация данных и установление постоянства.
Дополнительно было обнаружено несколько других инструментов, используемых в нападениях на те же цели. Это указывает на то, что кампания «Stayin' Alive», вероятно, представляет собой небольшую часть значительно более крупной операции, использующей множество в настоящее время неизвестных инструментов и методик.
- Источник новости
- www.securitylab.ru
