Недавно компания FortiGuard Labs обнаружила фишинговую кампанию, в ходе которой пользователям предлагалось загрузить вредоносный Java-загрузчик с целью распространения новых троянов удаленного доступа (RAT) VCURMS и STRRAT. Злоумышленники хранили вредоносное ПО на общедоступных сервисах Amazon Web Services (AWS) и GitHub, используя коммерческий протектор, чтобы избежать обнаружения вредоносного ПО. На протяжении всей атакующей кампании злоумышленники пытались использовать электронную почту в качестве командно-административной системы. Конечная точка-получатель использует Proton Mail, который предлагает услуги электронной почты с защитой конфиденциальности.
STRRAT - это RAT, созданная на Java и обладающая широким спектром возможностей, таких как кейлоггер и извлечение учетных данных из браузеров и приложений.
К концу 2023 года было обнаружено, что STRRAT использует две техники обфускации строк, а именно "Zelix KlassMaster (ZKM)" и "Allatori", чтобы избежать обнаружения. Однако STRRAT, замеченный в этой атакующей кампании, следует тому же запутанному процессу. Он использует Java-обфускатор Allatori и включает в себя обфускатор Branchlock, что усложняет анализ.
Indicators of Compromise
Domains
- backinghof.ddns.net
- bankofindustry.s3.us-east-2.amazonaws.com
- jbfrost.live
- ofornta.ddns.net
- riseappbucket.s3.ap-southeast-1.amazonaws.com
Emails
- copier@ferrellengineering.com
- sacriliage@proton.me
SHA256
- 588d6f6feefa6273c87a3f8a15e2089ee3a063d19e6a472ffc0249298a72392d
- 8aa99504d78e88a40d33a5f923caf7f2ca9578031d004b83688aafdf13b3b59f
- 8d72ca85103f44742d04ebca02bff65788fe6b9fc6f5a411c707580d42bbd249
- 97e67ac77d80d26af4897acff2a3f6075e0efe7997a67d8194e799006ed5efc9
- c0d0dee9b8345da3c6cf3e1c3ce5b5b6e8c9e4002358517df1e3cd04c0f0b3d1