Команда исследования SonicWall Capture Labs обнаружила новую угрозу, связанную с инъекцией управляемого кода .Net без использования файлов в нативный 64-битный процесс. Вредоносная программа, известная как AgentTesla, использует документ Word с включенным VBA-макросом в качестве начального вектора заражения. При активации макроса он загружает двоичный файл Rust с вредоносной полезной нагрузкой из Интернета и запускает его. Затем вредоносная программа загружает шелл-код, который содержит полезную нагрузку AgentTesla, и запускает его с использованием определенных API.
Шелл-код использует процедуру XOR-дешифрования для расшифровки закодированной полезной нагрузки и далее выполняет несколько действий, включая загрузку необходимых DLL, а также решение и патч API, чтобы обойти инструменты анализа угроз.
Особое внимание уделяется отключению трассировки событий, что помогает вредоносной программе остаться незамеченной и продолжать свою работу в системе. Шелл-код также выполняет CLR-хостинг, чтобы иметь возможность управлять исполняемым кодом .NET.
Indicators of Compromise
URLs
- https://New-Coder.cc/Users/shellcodeAny_20240329011339585.bin
- https://New-Coder.cc/Users/signed_20240329011751156.exe
MD5
- 4521162d45efc83fa76c4b5c0d405265
- 6999d02aa08b56efe8b2dbbd6fdc9a78
- cd485bf146e942ec6bb51351fa42b1ff
- d99020c900069e737b3f4ab8c6947375
SHA256
- 02c03e2e8ca28849969ae9a8aaa7fde8a8b918b5a29548840367f3ecac543e2d
- 7b6867606027bfca492f95e2197a3571d3332d59b65e1850cb20aa6854486b41
- a6562d8f34d4c25a94313ebbed1137514eed90b233a94a9125e087781c733b37
- f00ed06a1d402ecf760ec92f3280ef6c09e76036854abacadcac9311706ed97d