Новости Обнаружен новый вариант ВПО Gootkit с обновлёнными инструментами

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022

Операторы Gootkit подстраиваются под изменения в киберпространстве и обновляют своё ПО.​


8apotop63m7lssisy1w1hjcj2s91up82.jpg


Исследователи кибербезопасности из ИБ-компании Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , что операторы Gootkit, внесли «заметные изменения» в свой набор инструментов, добавив новые компоненты и средства обфускации в свои цепочки заражения. Mandiant отслеживает кластер угроз под псевдонимом UNC2565.

Gootkit (Gootloader) распространяется через скомпрометированные веб-сайты, на которые жертвы попадают при поиске деловых документов (соглашения, контракты и т.д.) с помощью метода отравления SEO ( Для просмотра ссылки Войди или Зарегистрируйся ).

Документы выдают себя за ZIP-архивы, содержащие вредоносный код Для просмотра ссылки Войди или Зарегистрируйся , который при запуске открывает путь для дополнительных полезных нагрузок – Для просмотра ссылки Войди или Зарегистрируйся Beacon, FONELAUNCH и SNOWCONE.

  • FONELAUNCH — это загрузчик на основе .NET, предназначенный для загрузки закодированных полезных нагрузок в память;
  • SNOWCONE — это загрузчик, который извлекает полезную нагрузку следующего этапа (обычно Для просмотра ссылки Войди или Зарегистрируйся ) через HTTP.


v5u1zrq83ji4dcutwdi69z1npsipxqij.png


Цепочка атак GOOTLOADER.POWERSHELL В то время как общие цели Gootkit остались неизменными, сама последовательность атак претерпела значительные изменения – теперь файл JavaScript в ZIP-архиве троянизирован и содержит в себе обфусцированный код JavaScript, который и выполняет вредоносное ПО.

Новый вариант, обнаруженный в ноябре 2022 года, отслеживается как GOOTLOADER.POWERSHELL. Стоит отметить, что обновленная цепочка заражения также была Для просмотра ссылки Войди или Зарегистрируйся Trend Micro Для просмотра ссылки Войди или Зарегистрируйся в ходе атак Gootkit на сектор здравоохранения Австралии.

Более того, авторы вредоносного ПО использовали метод избегания обнаружения, используя сокрытие кода в измененных версиях легитимных библиотек JavaScript – jQuery, Chroma.js и Underscore.js.

3 разных варианта Gootkit – FONELAUNCH (FONELAUNCH.FAX), FONELAUNCH.PHONE и FONELAUNCH.DIALTONE — используются UNC2565 с мая 2021 года для выполнения DLL-библиотек, двоичных NET-файлов и PE-файлов, что указывает на то, что арсенал вредоносных программ постоянно поддерживается и обновляется. Эти изменения свидетельствуют об активном развитии и росте возможностей UNC2565.
 
Источник новости
www.securitylab.ru

Похожие темы