- 14,589
- 22
- 8 Ноя 2022
Прогрессивные механизмы сокрытия переписывают правила кибербезопасности.
Исследователи кибербезопасности выявили новую версию вредоносного ПО ZLoader, которая использует технологию DNS Tunneling для связи с командным сервером (C2). Это указывает на продолжающееся развитие инструмента злоумышленниками, вновь активизировавшими его использование год назад.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся Zscaler, версия ZLoader 2.9.4.0 получила заметные улучшения, включая пользовательский DNS-протокол для связи с C2 и интерактивную оболочку, поддерживающую более десятка команд. Эти функции могут быть полезны при осуществлении атак с применением программ-вымогателей, повышая устойчивость вредоносного ПО к обнаружению и блокировке.
ZLoader, также известный как Terdot, DELoader или Silent Night, представляет собой загрузчик, способный доставлять дополнительные вредоносные модули. Его активность возобновилась в сентябре 2023 года спустя почти два года после того, как инфраструктура вредоносного ПО была ликвидирована.
В новой версии ZLoader использует алгоритм генерации доменов (DGA) и методики предотвращения анализа. Например, программа избегает запуска на устройствах, которые отличаются от изначально инфицированных, что характерно и для банковского трояна Zeus, на базе которого ZLoader и основан.
В последние месяцы ZLoader всё чаще связывают с атаками с использованием программ-вымогателей Black Basta. Злоумышленники доставляют вредоносное ПО через удалённые подключения к рабочим столам, маскируясь под службу технической поддержки.
В цепочке атаки исследователи обнаружили новый компонент — загрузку модуля GhostSocks, который впоследствии устанавливает ZLoader. Это подчёркивает усложнение механизма заражения и совершенствование методов сокрытия.
Кроме того, вредоносное ПО обновило свои алгоритмы антианализа, включая проверки среды выполнения и алгоритмы импорта API, чтобы избежать анализа в песочницах и статического обнаружения.
Одной из ключевых новых функций стала интерактивная оболочка, позволяющая злоумышленникам выполнять произвольные бинарные файлы, DLL, shell-коды, а также выводить данные и завершать процессы. Помимо использования HTTPS с POST-запросами для связи с C2, ZLoader теперь поддерживает туннелирование DNS, что позволяет шифровать трафик с использованием TLS через DNS-пакеты.
Эксперты отмечают, что такие нововведения демонстрируют нацеленность группы на обход методов обнаружения. Добавление новых функций делает ZLoader ещё более эффективным инструментом для первичного проникновения в системы с последующим развёртыванием программ-вымогателей.
Исследователи кибербезопасности выявили новую версию вредоносного ПО ZLoader, которая использует технологию DNS Tunneling для связи с командным сервером (C2). Это указывает на продолжающееся развитие инструмента злоумышленниками, вновь активизировавшими его использование год назад.
Согласно Для просмотра ссылки Войди
ZLoader, также известный как Terdot, DELoader или Silent Night, представляет собой загрузчик, способный доставлять дополнительные вредоносные модули. Его активность возобновилась в сентябре 2023 года спустя почти два года после того, как инфраструктура вредоносного ПО была ликвидирована.
В новой версии ZLoader использует алгоритм генерации доменов (DGA) и методики предотвращения анализа. Например, программа избегает запуска на устройствах, которые отличаются от изначально инфицированных, что характерно и для банковского трояна Zeus, на базе которого ZLoader и основан.
В последние месяцы ZLoader всё чаще связывают с атаками с использованием программ-вымогателей Black Basta. Злоумышленники доставляют вредоносное ПО через удалённые подключения к рабочим столам, маскируясь под службу технической поддержки.
В цепочке атаки исследователи обнаружили новый компонент — загрузку модуля GhostSocks, который впоследствии устанавливает ZLoader. Это подчёркивает усложнение механизма заражения и совершенствование методов сокрытия.
Кроме того, вредоносное ПО обновило свои алгоритмы антианализа, включая проверки среды выполнения и алгоритмы импорта API, чтобы избежать анализа в песочницах и статического обнаружения.
Одной из ключевых новых функций стала интерактивная оболочка, позволяющая злоумышленникам выполнять произвольные бинарные файлы, DLL, shell-коды, а также выводить данные и завершать процессы. Помимо использования HTTPS с POST-запросами для связи с C2, ZLoader теперь поддерживает туннелирование DNS, что позволяет шифровать трафик с использованием TLS через DNS-пакеты.
Эксперты отмечают, что такие нововведения демонстрируют нацеленность группы на обход методов обнаружения. Добавление новых функций делает ZLoader ещё более эффективным инструментом для первичного проникновения в системы с последующим развёртыванием программ-вымогателей.
- Источник новости
- www.securitylab.ru
