В Италии продолжается масштабная киберкампания, связанная с распространением вредоносной программы AgentTesla. По данным CERT-AGID (Компьютерной группы экстренного реагирования при Агентстве по цифровым технологиям Италии), злоумышленники активно атакуют новые итальянские компании с ограниченной ответственностью, используя фишинговые письма с вредоносными вложениями. Кампания длится уже около девяти месяцев, и ее методы постоянно эволюционируют, что затрудняет обнаружение и блокировку угрозы.
Описание
Основной вектор атаки - рассылка электронных писем, содержащих вложения в формате .ZIP или .Z. Внутри архивов скрываются исполняемые файлы (.EXE) или файлы сценариев (.SRC), которые при запуске инициируют загрузку вредоносного кода. Злоумышленники активно используют командно-контрольный сервер (C2), который уже несколько раз был обнаружен экспертами CERT-AGID. Интересно, что злоумышленники повторно используют один и тот же сервер, вероятно, чтобы избежать подозрений и обойти системы защиты, которые могут блокировать новые неизвестные домены.
Одной из особенностей этой кампании является постоянное изменение начального загрузчика вредоноса. С каждой новой итерацией атаки злоумышленники модифицируют код, чтобы затруднить его анализ и детектирование. Для шифрования начальной фазы загрузки применяются алгоритмы AES или Triple DES, что делает вредоносный код еще более устойчивым к исследованию. Эксперты CERT-AGID смогли расшифровать часть кода с помощью инструмента CyberChef, что позволило получить дополнительные данные о механизмах работы вредоноса.
Финальный этап загрузки AgentTesla основан на проекте с открытым исходным кодом под названием Costura. Этот инструмент используется для загрузки вредоносной полезной нагрузки непосредственно в память процесса во время выполнения, что позволяет избежать записи файлов на диск и снижает вероятность обнаружения антивирусными решениями. AgentTesla известен как мощный шпионский троян, способный похищать конфиденциальные данные, включая учетные записи, пароли, данные банковских карт и другую критически важную информацию.
Эксперты по кибербезопасности рекомендуют компаниям усилить меры защиты, включая обучение сотрудников распознаванию фишинговых атак, внедрение многофакторной аутентификации и регулярное обновление антивирусного ПО. Также важно ограничить запуск исполняемых файлов из ненадежных источников и использовать системы мониторинга сетевой активности для выявления подозрительных подключений к C2-серверам.
Учитывая продолжительность и масштаб кампании, можно предположить, что злоумышленники нацелены на долгосрочное присутствие в корпоративных сетях Италии. CERT-AGID продолжает отслеживать ситуацию и публиковать рекомендации для защиты от этой угрозы. Владельцам бизнеса и ИТ-специалистам следует внимательно следить за обновлениями от CERT-AGID и других органов кибербезопасности, чтобы минимизировать риски заражения.
Индикаторы компрометации
Domains
- gator3220.hostgator.com
URLs
- http://filetransfer.io/data-package/EN1H0b0j/download
- https://s22.filetransfer.io/storage/download/0HrIh4OdCdve
MD5
- 1989b73ade13255f90cb9fc64a5a4ec7
- 3b9df1a72f00adf98ae6b7fb83a2b4d2
- a3d184397aaf2c86952ed6bd6d7c156d
SHA1
- 169779697c87750190e8380fe042f75935a4273a
- 356df8951d5c9771ba523a42e0d89fbeee661f24
- 94376cd6ce32803566dcfc6b6652ecab6401e82c
SHA256
- 538cc397a171cc8916b273fc2f6407b5c561f30b160d0e00f43876438ddb9193
- 901d12237c381a3a188e151343ecc181c7d0f4983f33ae5ee66fc2dccf1d4c4f
- d3ea64ad7250d31bd2bc73eb1de0826821438aa02f9028c516245d68ea15e879
