Rozena - это вредоносная программа типа бэкдор, способная открывать удаленное shell-соединение, ведущее к автору вредоносной программы. Успешное соединение с автором вредоносной программы создает многочисленные проблемы для безопасности не только пораженной машины, но и других компьютеров, подключенных к ее сети.
Rozena Backdoor
Впервые эта вредоносная программа была замечена в 2015 году и вновь появилась в марте 2018 года. Старая и новая вредоносные программы Rozena по-прежнему нацелены на операционные системы Microsoft Windows, но разница заключается в том, что новая программа адаптирована к бесфайловой технике, которая использует сценарии PowerShell для выполнения своих вредоносных намерений. Исследование, проведенное компаниями Barkly и Ponemon Institute, в ходе которого было опрошено 665 руководителей в области ИТ и безопасности, показало, что вероятность успеха безфайловых атак в 10 раз выше, чем у атак на основе файлов. Это может быть вероятной причиной того, что авторы вредоносных программ теперь идут по безфайловому пути.
Этот файл может попасть в систему в виде сброшенного файла другой вредоносной программой или в виде загруженного файла при посещении вредоносных сайтов. Он также может попасть в качестве вложения в подготовленное спам-письмо. Rozena - это исполняемый файл, который маскируется под файл Microsoft Word. После выполнения он создает текстовый файл с именем Hi6kI7hcxZwU в папке %temp%. Затем этот исполняемый файл запустит обфусцированные и закодированные команды PowerShell в определенном порядке и с определенной целью. В данном случае мы назовем эти сценарии CREATOR script, DECODER script и INJECTOR script для более удобного обозначения в углубленном анализе. Скрипт создателя отвечает за порождение скрипта декодера. Скрипт декодера должен расшифровать содержимое Hi6kI7hcxZwU и выполнить его. Декодированный сценарий порождает сценарий-инжектор, который внедряет шеллкод в PowerShell.exe.
Этот внедренный шеллкод создаст обратное TCP-соединение с удаленным сервером, которое даст доступ автору вредоносной программы.
В мае 2022 года компания Microsoft опубликовала рекомендацию CVE-2022-30190, которая касается уязвимости удаленного выполнения кода в Microsoft Windows Support Diagnostic Tool (MSDT). Злоумышленники могут внедрить вредоносную внешнюю ссылку на OLE-объект в документ Microsoft Office, затем заманить жертву щелчком мыши или простым предварительным просмотром документа, чтобы запустить эксплойт. После этого на машине жертвы будет выполнена полезная нагрузка. Поскольку эта уязвимость является публичным эксплойтом и имеет высокую степень серьезности, FortiGuard Labs опубликовала предупреждение о вспышке 31 мая и статью в блоге, посвященную этой проблеме, 1 июня 2022 года.
В ходе отслеживания в прошлом месяце был обнаружен документ, в котором эксплуатировался CVE-2022-30190, он же Follina, затем загружалась Rozena для развертывания бесфайловой атаки и использования публичной службы вложений Discord CDN. Rozena - это вредоносная программа с бэкдором, способная внедрять удаленное shell-соединение обратно на машину атакующего.
Indicators of Compromise
IPv4 Port Combinations
- 18.231.121.185:443
- SHA
MD5
SHA1
SHA256
- c23d6700e93903d05079ca1ea4c1e36151cdba4c5518750dc604829c0d7b80a7
- d906dc14dae9f23878da980aa0a3108c52fc3685cb746702593dfa881c23d13f
- 432bae48edf446539cae5e20623c39507ad65e21cb757fb514aba635d3ae67d6
- 5d8537bd7e711f430dc0c28a7777c9176269c8d3ff345b9560c8b9d4daaca002
- 3558840ffbc81839a5923ed2b675c1970cdd7c9e0036a91a0a728af14f80eff3
- 27f3bb9ab8fc66c1ca36fa5d62ee4758f1f8ff75666264c529b0f2abbade9133
- 69377adfdfa50928fade860e37b84c10623ef1b11164ccc6c4b013a468601d88