- 19,437
- 40
- 8 Ноя 2022
Хитрый инструмент играет на доверии, незаметно разрушая защитные барьеры.
Исследователи из Intezer Labs Для просмотра ссылки Войдиили Зарегистрируйся нацеленных на организации в китаеязычных регионах, включая Гонконг, Тайвань и материковый Китай. В ходе этих атак используется многоэтапный загрузчик PNGPlug для доставки вредоносного ПО ValleyRAT.
Атака начинается с фишинговой страницы, убеждающей жертву скачать вредоносный MSI-файл, маскирующийся под легитимное программное обеспечение. После запуска этот файл выполняет две задачи: устанавливает безвредное приложение для создания иллюзии легитимности и извлекает зашифрованный архив с вредоносными компонентами.
MSI-файл использует функцию Windows Installer CustomAction для выполнения вредоносного кода. Зашифрованный архив «all.zip» расшифровывается с использованием встроенного пароля «hello202411». Среди основных компонентов — «libcef.dll» (загрузчик), «down.exe» (легитимное приложение) и файлы «aut.png» и «view.png», которые замаскированы под изображения, однако содержат в себе вредоносные данные.
Задача загрузчика «libcef.dll» заключается в подготовке среды для выполнения вредоносного ПО. Он вносит изменения в системный файл «ntdll.dll» для внедрения данных в память и анализирует параметры командной строки. Если обнаруживается параметр «/aut», загрузчик извлекает путь к файлу «down.exe», записывает его в реестр и выполняет код из файла «aut.png». В противном случае запускается файл «view.png», и его содержимое внедряется в процесс «colorcpl.exe».
ValleyRAT, развёртываемый с помощью PNGPlug, является сложным вредоносным ПО, приписываемым группе Silver Fox. Этот инструмент включает многоуровневые механизмы выполнения, такие как запуск shell-кода в памяти, привилегированное выполнение и постоянное присутствие в системе через реестр и задачи планировщика.
Анализ показывает, что в ходе атак применяется широкий спектр тактик: фишинговые сайты, маскировка вредоносных файлов под легитимные программы и использование бесплатного ПО, которым зачастую вынуждены пользоваться сотрудники из-за нехватки корпоративных инструментов.
Для просмотра ссылки Войдиили Зарегистрируйся -группировка Silver Fox специализируется на шпионских операциях, направленных на китаеязычные организации, включая использование ValleyRAT и Gh0st RAT для сбора данных, мониторинга активности и доставки дополнительных модулей. Кампания отличается акцентом на единую языковую аудиторию, что подчёркивает её масштаб и стратегическую цель. Отсутствие инвестиций в кибербезопасность на стороне жертв увеличивает их Для просмотра ссылки Войди или Зарегистрируйся к таким атакам.
Применение модульного загрузчика PNGPlug позволяет злоумышленникам адаптировать угрозу для различных кампаний, что делает её особенно опасной. Эти события демонстрируют необходимость внедрения продвинутых методов обнаружения и защиты от постоянно меняющихся угроз.
Исследователи из Intezer Labs Для просмотра ссылки Войди
Атака начинается с фишинговой страницы, убеждающей жертву скачать вредоносный MSI-файл, маскирующийся под легитимное программное обеспечение. После запуска этот файл выполняет две задачи: устанавливает безвредное приложение для создания иллюзии легитимности и извлекает зашифрованный архив с вредоносными компонентами.
MSI-файл использует функцию Windows Installer CustomAction для выполнения вредоносного кода. Зашифрованный архив «all.zip» расшифровывается с использованием встроенного пароля «hello202411». Среди основных компонентов — «libcef.dll» (загрузчик), «down.exe» (легитимное приложение) и файлы «aut.png» и «view.png», которые замаскированы под изображения, однако содержат в себе вредоносные данные.
Задача загрузчика «libcef.dll» заключается в подготовке среды для выполнения вредоносного ПО. Он вносит изменения в системный файл «ntdll.dll» для внедрения данных в память и анализирует параметры командной строки. Если обнаруживается параметр «/aut», загрузчик извлекает путь к файлу «down.exe», записывает его в реестр и выполняет код из файла «aut.png». В противном случае запускается файл «view.png», и его содержимое внедряется в процесс «colorcpl.exe».
ValleyRAT, развёртываемый с помощью PNGPlug, является сложным вредоносным ПО, приписываемым группе Silver Fox. Этот инструмент включает многоуровневые механизмы выполнения, такие как запуск shell-кода в памяти, привилегированное выполнение и постоянное присутствие в системе через реестр и задачи планировщика.
Анализ показывает, что в ходе атак применяется широкий спектр тактик: фишинговые сайты, маскировка вредоносных файлов под легитимные программы и использование бесплатного ПО, которым зачастую вынуждены пользоваться сотрудники из-за нехватки корпоративных инструментов.
Для просмотра ссылки Войди
Применение модульного загрузчика PNGPlug позволяет злоумышленникам адаптировать угрозу для различных кампаний, что делает её особенно опасной. Эти события демонстрируют необходимость внедрения продвинутых методов обнаружения и защиты от постоянно меняющихся угроз.
- Источник новости
- www.securitylab.ru
