Cyble провела исследование вредоносной кампании, которая направлена на производственную отрасль и использует технологические инъекции для доставки вредоносной нагрузки Lumma Stealer и бота Amadey. Кампания начинается с фишингового письма, содержащего ссылку на замаскированный LNK-файл, который выдает себя за PDF-файл. Лаборатория Cyble обнаружила, что вредоносная кампания использует различные двоичные файлы для обхода традиционных механизмов безопасности и выполнения следующей стадии атаки.
Lumma Stealer и Amadey
Злоумышленники используют ускоренные мобильные страницы Google (AMP) и сокращенные URL-адреса, чтобы избежать обнаружения сканерами URL. Атака основана на технике файловых инъекций, при которой вредоносная полезная нагрузка выполняется непосредственно в памяти, чтобы обойти обычные механизмы защиты. Целью атаки является развертывание Lumma Stealer и бота Amadey, которые позволяют злоумышленникам получать контроль над зараженной машиной и собирать конфиденциальную информацию.
Анализ технических деталей показал, что вредоносная кампания использует LNK-файл как начальный вектор распространения. Злоумышленники использовали SSH-клиент Windows в качестве цели, чтобы снизить вероятность обнаружения. Когда пользователь открывает LNK-файл, запускается команда для выполнения PowerShell, которая получает и выполняет дополнительную вредоносную полезную нагрузку с удаленного сервера.
После этого код PowerShell запускает другой вредоносный скрипт, который загружает ZIP-архив, извлекает его содержимое и запускает легитимный исполняемый файл. Затем происходит установка Lumma Stealer и бота Amadey. Кампания TA включает в себя несколько этапов инъекции кода. Использование LNK-файлов в качестве вектора атаки становится все более популярным из-за их гибкости и возможности выполнения различных команд.
Анализ технических подробностей выявил, что злоумышленники манипулируют протоколами безопасности, устанавливая различные параметры, и получают вредоносную нагрузку с удаленного сервера с помощью Invoke-WebRequest и Invoke-Expression. Кампания явно нацелена на производственную отрасль, и ее целью является получение конфиденциальной информации с зараженных машин.
Indicators of Compromise
URLs
- http://download-695-18112-001-webdav-logicaldoc.cdn-serveri4732-ns.shop/Downloads/18112.2022/
- https://berb.fitnessclub-filmfanatics.com/naailq0.cpl
- https://pastebin.com/raw/0v6Vhvpb
- https://www.google.ca/amp/s/goo.su/IwPQJP
SHA256
- 5b6dc2ecb0f7f2e1ed759199822cb56f5b7bd993f3ef3dab0744c6746c952e36
- 7b8958ed2fc491b8e43ffb239cdd757ec3d0db038a6d6291c0fd6eb2d977adc4
- 8ed1af83cf70b363658165a339f45ae22d92c51841b06c568049d3636a04a2a8
- dc36a3d95d9a476d773b961b15b188aa3aae0e0a875bca8857fca18c691ec250