Исследователи из Rapid7 Labs обнаружили новый установщик вредоносного ПО, получивший название CleverSoar, который используется для воздействия на жертв, говорящих на китайском и вьетнамском языках.
CleverSoar
Установщик использует современные вредоносные инструменты, включая фреймворк Winos4.0 и руткит Nidhogg, позволяющие осуществлять такие действия, как кража данных, регистрация нажатий клавиш и обход мер безопасности. Вредоносная программа распространяется через поддельные инсталляторы .msi, замаскированные под игровые или связанные с программным обеспечением приложения. Он избирательно выбирает системы на основе языковых настроек, завершая процесс, если язык не китайский или вьетнамский, что указывает на региональные мотивы шпионажа.
Rapid7 обнаружила в CleverSoar сложные методы защиты от обнаружения, такие как проверка виртуальных машин (VM) на уровне прошивки, уклонение от Windows Defender и методы защиты от отладки. Вредоносная программа также использует такие механизмы защиты, как запланированные задачи и установка руткитов, что позволяет ей оставаться активной на взломанных системах. Интересно, что вредоносная программа отключает антивирусные инструменты, выключает брандмауэр и настраивает свою полезную нагрузку, чтобы избежать обнаружения.
Хотя авторство остается неясным, сходство с предыдущими кампаниями позволяет предположить связь с той же группой, которая стоит за вредоносной программой ValleyRAT.
Замысловатый дизайн CleverSoar и его нацеленность на шпионаж подчеркивают важность проактивной защиты, особенно для пользователей в пострадавших регионах.
Indicators of Compromise
IPv4
- 156.224.26.7
Domains
- 8848.twilight.zip
SHA256
- F70b34e2b1716528a3c3fffdbfc008003b9685f1a4da2e5a6052612de92b0c68