Безрассудные операторы вредоносных программ растратили «необнаруживаемый» бэкдор Windows

Безрассудные операторы вредоносных программ растратили «необнаруживаемый» бэкдор Windows

20 октября 2022 г.

Благодаря вредоносному ПО безответственное поведение операторов.

Исследователи кибербезопасности из SafeBreach Labs утверждают, что обнаружили совершенно новый бэкдор PowerShell, который при правильном выполнении дает злоумышленникам удаленный доступ к скомпрометированным конечным точкам. Оттуда злоумышленники могут запускать все виды атак второго этапа, от программ для кражи информации до программ-вымогателей< /a> и все, что между ними.

Согласно отчету, неизвестный злоумышленник создал вооруженный документ Word под названием «ApplyForm[.]docm». Он содержал макрос, который при активации запускал неизвестный скрипт PowerShell.

Бросание мяча с помощью скриптов

"Макрос удаляет updater.vbs, создает запланированную задачу, притворяющуюся частью обновления Windows, которая будет выполнять сценарий updater.vbs из фальшивой папки обновлений в '%appdata%\local\Microsoft\Windows, ", - пояснили исследователи.

Updater.vbs затем запускал сценарий PowerShell, который предоставлял злоумышленнику удаленный доступ.

Перед запуском запланированной задачи вредоносное ПО генерирует два сценария PowerShell — Script.ps1 и Temp.ps1. Содержимое скрыто и помещено в текстовые поля внутри файла Word, который затем сохраняется в поддельном каталоге обновлений. Таким образом, антивирусные решения не смогут идентифицировать файл как вредоносный.

Подробнее

> Ознакомьтесь с нашим кратким обзором лучшего программного обеспечения для защиты конечных точек

> Этот бэкдор для Linux оставался незамеченным в течение 10 лет

> Бэкдоры Microsoft Exchange используются для слежки за НПО по всему миру

Script.ps1 обращается к управляющему серверу, чтобы назначить идентификатор жертвы и получить дальнейшие инструкции. Затем он запускает сценарий Temp.ps1, который сохраняет информацию и выполняет команды.

Ошибка злоумышленников заключалась в том, что они выдавали идентификаторы жертв в предсказуемой последовательности, что позволяло исследователям прослушивать разговоры с сервером C2.

Хотя кто стоит за атакой, остается неизвестным. Загадка, вредоносный документ Word был загружен из Иордании в конце августа этого года и на данный момент скомпрометировал около сотни устройств, обычно принадлежащих людям, ищущим новые возможности трудоустройства.

Один читатель Реестра< /a> описали свой опыт работы с бэкдором, дав советы предприятиям, стремящимся уменьшить ущерб, который могут нанести неизвестные бэкдоры.

«У меня есть MSP, и мы получили уведомление об этом 3 октября. Клиентом была благотворительная организация на 330 мест, и я не связывал ее с этой конкретной статьей, пока не прочитал ее сегодня утром».

«У них есть zero-trust [ZT] и Ringfencing, поэтому, хотя макрос запустился, он не вышел за пределы Excel», — сказали они. "Небольшое напоминание о том, что решение ZT следует использовать в критически важных средах, поскольку оно может остановить подобные вещи нулевого дня".

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE

COPYRIGHT 2020 COFFEE-WEB.RU