Исследователи из Zscaler ThreatLabz обнаружили новые инструменты для работы с вредоносным ПО, пополнившие арсенал известного злоумышленника, работающего с платформой «вредоносное ПО как услуга» (MaaS), - Venom Spider (также известного как Golden Chickens).
Venom Spider
В рамках этих кампаний были представлены два новых семейства вредоносных программ - RevC2 и Venom Loader. Первая кампания, активная с августа по сентябрь, использовала замануху в виде документации API для доставки RevC2 - бэкдора для кражи конфиденциальных данных. RevC2, распространяемый через файлы VenomLNK, обеспечивает выполнение только при определенных условиях, что позволяет избежать обнаружения. Он использует WebSockets для командно-адресной связи (C2) и может выполнять команды, красть данные и протоколировать процессы. Вторая кампания, проходившая с сентября по октябрь, использовала замануху с криптовалютными транзакциями для доставки Venom Loader, который разворачивал вариант бэкдора More_eggs lite. More_eggs lite - это вариант more_eggs, содержащий только возможность удаленного выполнения кода (RCE) и используемый в качестве загрузчика. Venom Loader загружает More_eggs lite путем декодирования закодированной полезной нагрузки и устанавливает постоянство с помощью модификаций реестра. More_eggs lite взаимодействует со своим C2-сервером с помощью HTTP POST-запросов, что обеспечивает возможность удаленного выполнения кода (RCE). В Zscaler отметили, что RevC2 и Venom Loader, судя по всему, являются вредоносными программами ранней стадии, имеющими потенциал для дальнейшего развития.
Indicators of Compromise
URLs
- http://170.75.168.151:8080/transaction.pdf.lnk/
- http://65.38.121.211/api/infos
- ws://208.85.17.52:8082
- ws://nopsec.org:8082/
SHA256
- 153cd5a005b553927a94cc7759a8909bd1b351407d8d036a1bf5fcf9ee83192e
- 46a982ec4ea400f8df403fa8384e1752dca070bd84beef06284f1d412e159e67
- 8e16378a59eb692de2c3a53b8a966525b0d36412bfd79c20b48c2ee546f13d04
- 9b0b58aa10577244bc0e174d588ffa8d34a54a34c1b59371acba52772b584707
- cf45f68219c4a105fffc212895312ca9dc7f4abe37306d2f3b0f098fb6975ec7
- f93134f9b4ee2beb1998d8ea94e3da824e7d71f19dfb3ce566e8e9da65b1d7a2