Лаборатория FortiGuard Labs недавно обнаружила электронное письмо, выдающее себя за письмо от правительства Венгрии. В нем пользователю сообщается, что к письму прилагаются новые учетные данные для входа на правительственный портал. Однако вложение представляет собой заархивированный исполняемый файл, который после выполнения извлекает Warzone RAT в память и запускает его. Через несколько дней после нашего первоначального обнаружения Венгерский национальный центр кибербезопасности выпустил предупреждение об этой атаке.
Злоумышленник использовал хорошо составленное поддельное правительственное письмо в качестве приманки для выполнения вложенной вредоносной программы. Приманка хорошо продумана, так как она относится ко всем жителям Венгрии, которые пользуются онлайн-порталом администрации. Это, а также точность языка, использованного в электронном письме, может указывать на то, что в атаке участвуют местные субъекты.
Матрешка из встроенных двоичных файлов .NET со все более сложной обфускацией поддерживает тенденцию, согласно которой злоумышленники все больше полагаются на современные методы обфускации. Это приведет к тому, что реверс-инженерам придется тратить больше времени на деобфускацию и анализ вредоносного ПО.
Использование Warzone RAT в качестве конечной полезной нагрузки также подтверждает растущую зависимость киберпреступников от услуг MaaS. Мы наблюдаем аналогичную тенденцию в образцах вымогательского ПО: популярность поставщиков услуг Ransomware-as-a-Service растет.
Indicators of Compromise
IPv4 Port Combinations
- 171.22.30.72:5151
SHA256
- 21d09c77de01cc95209727752e866221ad3b66d5233ab52cfe5249a3867ef8d8
- 27743b5b7966384cc8ef9cfef5c7a11c8b176123b84c50192926c08ab7e6d7d7
- 66319bf905acac541df26fecc90843a9a60fdbc1a8a03e33f024088f586cb941
- 8b533ffaed24e0351e489b14aaac6960b731db189ce7ed0c0c02d4a546af8e63