Простой способ обойти блокировки – купи VPN через Телеграмм-бот: |
Исследователи Fortinet раскрыли серию изощрённых атак повышенной сложности.
Исследователи из компании Fortinet зафиксировали новую сложную вредоносную операцию, направленную на устройства в Украине. Основная цель злоумышленников — внедрение Cobalt Strike и захват контроля над скомпрометированными хостами.
По словам исследователя по безопасности Кары Лин, атака начинается с вредоносного файла Microsoft Excel, содержащего встроенный VBA-скрипт. Этот скрипт запускает многоэтапное заражение, в результате которого устанавливается связь с C2-сервером злоумышленников.
Cobalt Strike, созданный компанией Fortra, изначально был предназначен для моделирования атак в целях проверки безопасности. Однако его взломанные версии активно используются злоумышленниками в преступных целях.
Начальный этап атаки в рассмотренной вредоносной операции включает Excel-документ, отображающийся на украинском языке. С июля 2022 года Microsoft по умолчанию блокирует макросы в Office, что добавляет сложности для атакующих. Тем не менее, со временем хакеры наловчились использовать социальную инженерию таким образом, чтобы само содержимое документа побуждало жертву активировать поддержку макросов.
В России и ищешь VPN? Покупай через Телеграмм-бот: |
После включении макросов в фоновом режиме запускает DLL-загрузчик через утилиту regsvr32. Этот загрузчик отслеживает активные процессы на наличие Avast Antivirus и Process Hacker. При их обнаружении он завершает работу.
В случае отсутствия таких процессов загрузчик подключается к удалённому серверу для загрузки следующего этапа вредоносного ПО, но только если устройство находится в Украине.
Полученный файл представляет собой DLL, который запускает другой DLL-файл, выполняющий роль инжектора. Этот инжектор важен для извлечения и запуска финального вредоносного ПО. Заключительный этап атаки включает развёртывание Cobalt Strike Beacon, который устанавливает связь с С2-сервером хакеров.
«Проверки на основе геолокации во время скачивания полезных нагрузок позволяют атакующим скрыть подозрительную активность, избегая внимания аналитиков», — объяснила Лин. «Использование закодированных строк помогает скрыть важные импортируемые строки, облегчая развёртывание DLL-файлов и расшифровку последующих нагрузок».
Кроме того, использование функции самоуничтожения способствует обходу мер безопасности, а DLL-инжектор применяет задержки и завершает родительские процессы для избегания анализа в песочнице и антиотладочных механизмов.
Данная вредоносная операция демонстрирует высокую степень изощренности и целенаправленность на украинские объекты. Злоумышленники используют тактики социальной инженерии, геолокационной фильтрации, обхода антивирусов и песочниц для успешного внедрения вредоносного ПО Cobalt Strike.
Ты не вирус, но мы видим, что ты активен!
Подпишись, чтобы защититься
Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.
Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.
Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.
Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.