DarkGate Trojan IOCs - Part 26

remote access Trojan IOC

Исследователи Trend Micro выявили атаку с применением социальной инженерии, в ходе которой злоумышленник, выдавая себя за клиента, участвующего в звонке Microsoft Teams, способствовал проникновению вредоносной программы DarkGate.

Описание

Вначале злоумышленник забрасывал жертву тысячами электронных писем, а затем звонил через Teams, выдавая себя за сотрудника известного клиента. Во время звонка злоумышленник попросил жертву загрузить AnyDesk, легитимное приложение для удаленного рабочего стола, после того как ему не удалось установить приложение Microsoft Remote Support. Получив удаленный доступ, злоумышленник загрузил и выполнил несколько вредоносных файлов, включая полезную нагрузку DarkGate.

Вредоносная программа DarkGate распространялась с помощью AutoIt-скрипта, позволяя злоумышленнику выполнять команды, собирать системную информацию и устанавливать соединение с командно-контрольным сервером. Вредоносная программа использовала такие техники, как побочная загрузка DLL и внедрение в процессы, чтобы избежать обнаружения и сохранить свое присутствие на компьютере жертвы. Ключевые системные данные, такие как конфигурация сети и таблицы маршрутизации, перехватывались, а другие файлы и записи в реестре создавались для обеспечения устойчивости вредоносной программы.

Эта атака демонстрирует использование голосового фишинга (vishing), когда злоумышленники используют доверие через голосовые звонки, чтобы заставить жертву предоставить доступ к своей системе. Несмотря на использование передовых методов, эта атака была пресечена до того, как произошла утечка данных.

Indicators of Compromise

SHA256

  • 1cbda9a3f202e7aacc57bcf3d43ec7b1ca42564a947d6b5a778df90cddef079a
  • 4e291266399bd8db27da0f0913c041134657f3b1cf45f340263444c050ed3ee1
  • bb56354cdb241de0051b7bcc7e68099e19cc2f26256af66fad69e3d2bc8a8922
  • e4d13af4bfc3effe4f515c2530b1b182e18ad0c0a3dacac4dd80d6edcf0b007a
  • faa54f7152775fa6ccaecc2fe4a6696e5b984dfa41db9a622e4d3e0f59c82d8b
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий