Два столпа в магии ловкости рук - это действие, инициированное пользователем, когда цель должна поверить, что ее действия являются ее собственными, и скрытое действие, когда трюк должен быть скрыт за чем-то обычным и не представляющим угрозы. Компании Mandiant стало известно о цепочке методик противника, которые используют эти две составляющие для достижения стойкости.
BRAINSTORM Dropper
Компании Mandiant стало известно о цепочке методик противников, которые используют эти два компонента для достижения стойкости:
- Пользователь запускает файл ярлыка LNK, который, без его ведома, был подделан.
- Модифицированный файл ярлыка LNK запускает легитимный браузер, скрывая вредоносное расширение.
В ходе поиска этой методики Mandiant обнаружил BRAINSTORM, дроппер на основе ржавчины, который в конечном итоге привел к RILIDE, расширению на основе хрома, о котором впервые публично сообщила SpiderLabs. Тщательное расследование показало, что экосистема кражи электронной почты и криптовалюты, используемая RILIDE, больше, чем сообщалось. В данном исследовании будут рассмотрены соответствующие методологии противника, обсуждены выявленные семейства вредоносных программ, использующие эти методологии, а также приведены многочисленные возможности обнаружения, чтобы расширить репертуар средств поиска и обнаружения защитника.
В ходе поиска этой методики Mandiant обнаружил BRAINSTORM, дроппер на основе Rust, который в конечном итоге привел к RILIDE, расширению на основе Chromium, о котором впервые публично сообщила SpiderLabs. Тщательное расследование показало, что экосистема кражи электронной почты и криптовалюты, используемая RILIDE, больше, чем сообщалось.
Файл LNK
Файлы с расширением .lnk в просторечии называют LNK-файлами, но официально они известны как Shell Link Binary Files и имеют стандартный формат. Файлы LNK содержат информацию, указывающую при взаимодействии с пользователем на другой объект данных в системе. Во многих случаях это прозрачно для конечного пользователя. Пользователь Windows может щелкнуть на значке Google Chrome в меню "Пуск", и откроется браузер Chrome. Пользователю не показывают, что он выполняет LNK-файл со свойствами, указывающими на реальный исполняемый файл Chrome.
Файл CRX
Файл CRX - это набор файлов, заархивированных в один пакет, который можно использовать в качестве расширения в браузерах на базе Chromium. Расширения улучшают работу браузера, добавляя в него дополнительные функции и возможности. Многие браузеры имеют магазин расширений, где пользователь может просматривать и устанавливать их в свой браузер через сам браузер; в целом это считается более безопасной практикой, поскольку компания-владелец программного обеспечения браузера проводит анализ самих расширений, пытаясь выявить вредоносные расширения.
Однако, в зависимости от настроек безопасности, браузеры позволяют вручную загружать CRX-файлы или распакованные расширения. Упакованные расширения (файлы CRX) представляют собой один файл с расширением .crx, а распакованное расширение - это каталог, содержащий файлы расширения.
В течение 2022 года компания Mandiant наблюдала, как несколько финансово мотивированных субъектов угроз распространяли и/или проявляли интерес к использованию вредоносных расширений браузера в своих операциях.
Злоупотребление LNK и CRX
Хотя ранее Mandiant уже сообщала о злоупотреблении файлами LNK и CRX по отдельности, недавно замеченная методология противников использовала оба типа файлов в цепочке событий, а связующим звеном между ними стал переключатель --load-extension в браузерах на базе Chromium.
Переключатель --load-extension позволяет источнику указать целевой каталог для загрузки в качестве расширения. Это дает вредоносному ПО возможность запускать новое окно браузера с загруженным вредоносным расширением.
Indicators of Compromise
IPv4
- 104.168.167.25
- 146.70.79.75
- 172.67.192.61
- 45.159.188.125
- 89.185.85.144
Domains
- 2022-blanks.site
- ashgrrwt.click
- extenision-app.com
- finandy.info
- finandy.online
- flnand.online
- kz-smartbank.com
- mareux.online
- mmarx.quest
- nch-software.info
- okxsat.xyz
- pr-tracker.online
- qivvi-3.click
- serienjunkies.us
- telegromcn.org
- vceilinichego.ru
- vse-blanki.online
URLs
- http://nch-software.info/1/2.exe
- http://vceilinichego.ru/api/machine/
- http://vceilinichego.ru/api/machine/get-urls
- http://vceilinichego.ru/api/machine/init
- http://vceilinichego.ru/api/machine/set-urls
- https://146.70.79.75/
- https://146.70.79.75/1/2.exe
- https://146.70.79.75/1/install-win64-11.5.8_en-US.exe
- https://146.70.79.75/2.exe
- https://146.70.79.75/admin_cp/
- https://146.70.79.75/templates/
- https://146.70.79.75/templates/light.dotm
- https://146.70.79.75/templates/light.pub
- https://146.70.79.75/templates/light.xlsm
- https://146.70.79.75/templates/x64.xll
- https://146.70.79.75/templates/x86.xll
- https://nch-software.info/1/2.exe
- https://nch-software.info/1/install-win64-11.5.8_en-US.exe
- https://panger-top.click/1/2.exe
- https://panger-top.click/1/install-win64-11.5.8_en-US.exe
- https://vceilinichego.ru
- https://vceilinichego.ru/api/machine
- https://vceilinichego.ru/api/machine/
- https://vceilinichego.ru/api/machine/check-tasks
- https://vceilinichego.ru/api/machine/get-urls
- https://vceilinichego.ru/api/machine/init
- https://vceilinichego.ru/api/machine/set-tasks
- https://vceilinichego.ru/api/machine/set-urls
MD5
- 020a8ed8a2b123f6c58fed791c6ef636
- 028b2f15560b0f80514cf0a23ae77a43
- 0a4834d3da05a1d0b2f3a0c13f352a0a
- 0a4f321c903a7fbc59566918c12aca09
- 0fc2bd7320c2edfd7985b87fc8cb1f96
- 19c859513f67400f3563e656f27df1c0
- 1af84663df057aee4934abe717938b33
- 219070a2502a47a50dd3df5c804074b4
- 223e499f6ba6ebdacf1dcff96008635b
- 2782af385665c765807ed887d4bacf36
- 30abf9ca1bb792eb5edd8b033c010979
- 3235e27576dd4e81f1c5986212ec2b78
- 34eea751fcbf4ee8d44977adb4742d93
- 395bef4512a3743299a45d4f9b74a2ee
- 3bf971fcaa2a3bd321f4e0b6864cb86a
- 3e181d794e62af5c54d4df5517766af8
- 41a5f1c5d032bcac16c903681674872c
- 4724261ef04e2301ecc9ac994b4b346e
- 4f506058ab8bfc5746308a95e34dce85
- 5133177ac4950cf772d2f729bb0622ec
- 5b7a2e7195bceb8e125758ae27c1e791
- 69a1c37a796dd3ed81785c1995f0973f
- 6b2e6d6650116d372ca8c47af08ca8fa
- 6e426758f184b5a942428731b749b000
- 70700ae977a0f3ca6a331842d8c103c9
- 770dd49f7340003d9c66b58cd793dada
- 89c34309aca3214c3ce7c72b407570e8
- 94c16b8f9236ab88bb0bca60c4399665
- 9984af7a440c39b7ac11a68f2da48137
- 9e5f43b2dc1606e27fa0cfdfb4e363d2
- 9fe5b99b20bc91995b81eddd917bff50
- ac00b947ca51d0e71b4c792f1646e4e0
- b7ad9777e3166628abe11dd043ddfb7e
- b7bf29a9d19af79a0872b8fcf482331b
- baee9ba0b94ea1e2b2e566fc8a615554
- bb8323247baad2d592e7ad1896935dd1
- d41b7138ad25d0401acf3298d0110342
- d54fa225b07298ec34be872cd4ebf4ae
- d56d195ebfaea6d97cccddcf3823be24
- de283dfb9c88dbb6d455ca4b31c57240
- ea7496d6fb96e3c1e00a1d5f501f6724
- f1c21a69ed9f85e12d58ef0f5ac5c9b1
- f2f85d38b91f582a83388690fdc45284
- f31e9238593b34b390ab8faf755e6ede
- f483821b0650653e4da643b212025709
- f6b319a6fa13e4537c4cf59675055661