Ранее в этом году внутренняя команда Threat Hunting столкнулась с заражениями выкупным ПО, которые ловко использовали возможности AsyncRAT, а тактика, техника и процедуры эффективно обходят средства антивирусной защиты. Затем злоумышленники использовали рефлексивную загрузку через процесс aspnet_compiler.exe, что позволило им скрытно развернуть свою полезную нагрузку.
AsyncRAT - инструмент удаленного доступа (RAT), обладающий множеством возможностей, таких как кейлоггинг и удаленный контроль рабочего стола, что делает его серьезной угрозой для жертв.
Различные исследования, проведенные с целью изучения заражений AsyncRAT, показали, что их операторы могут использовать различные техники. Например, кампании 2019 и 2020 годов распространяли модифицированные версии AsyncRAT с темой Covid-19, воспользовавшись пандемией в ее начальный период. В другом случае злоумышленники выдавали себя за местные банки и правоохранительные органы, чтобы доставить AsyncRAT своим жертвам.
В 2021 году AsyncRAT был частью фишинговой кампании под названием Operation Spalax. В этих фишинговых кампаниях, продолжавшихся до конца 2021 - начала 2022 года, для доставки AsyncRAT использовались HTML-вложения, а также методы рефлективной загрузки. Эти инциденты подчеркивают универсальность вредоносной программы и ее постоянное использование в различных векторах атак.
Indicators of Compromise
IPv4
- 185.150.25.181
IPv4 Port Combinations
- 45.141.215.40:4782
Domains
- 66escobar181.ddns.net
- httpswin10.kozow.com
Domain Port Combinations
- 66escobar181.ddns.net:6666
SHA1
- 2226d90cce0e6f3e5f1c52668ed5b0e3a97332c1
- 50b6aaed93609360f33de4b40b764d3bb0bd45d1
- 7be69e00916c691bbbed6ff9616f974f90234862
- 899ca79e54a2d4af140a40a9ca0b2e03a98c46cb
- 8fe5c43704210d50082bbbaf735a475810a8dbc9
- c07b2c25f926550d804087ac663991cf06bac519
- c5b16f22397c201a6e06f0049b6f948c648f11b7
- f22cceb9c6d35c9119a5791d6fd93bf1484e6747