Обнаружена сложная атакующая кампания, которая использует платформу Bitbucket для доставки вредоносной программы AsyncRAT с помощью многоступенчатого подхода. Это позволяет злоумышленникам скрыть код от посторонних глаз, используя несколько слоев base64. Анализ компрометации позволил раскрыть ключевые индикаторы компрометации и историю доставки полезной нагрузки AsyncRAT. Bitbucket используется злоумышленниками как репозиторий для размещения вредоносной программы, что облегчает им ее распространение среди пользователей.
AsyncRAT Malware
Bitbucket оказывается привлекательной платформой для злоумышленников по нескольким причинам. Во-первых, Bitbucket - это широко используемая платформа для разработки программного обеспечения, поэтому использование ее для размещения вредоносной программы меньше вызывает подозрений. Во-вторых, публичные репозитории Bitbucket обеспечивают доступность для злоумышленников, позволяя им легко распространять свою вредоносную нагрузку среди широкой аудитории.
Вредоносная программа AsyncRAT использует различные векторы атак, включая фишинговые письма, вредоносные вложения, загрузку по принципу drive-by и эксплойты уязвимостей в программном обеспечении. Атакующие слои AsyncRAT состоят из слоя обфускации VBScript и PowerShell, который затем загружает и выполняет вредоносную программу AsyncRAT.
Цель первого этапа атаки - обфусцировать и выполнить команду PowerShell. В VBS-файле обфускируется код и используется Base64 для его скрытия. Затем выполняется команда PowerShell для перехода к следующему этапу атаки. Второй этап включает загрузку и декодирование файла .NET из репозитория Bitbucket с использованием PowerShell. Этот файл содержит основную функциональность атаки, включая механизмы персистенции и выполнение вредоносной программы AsyncRAT.
Злоумышленники, использующие Bitbucket как платформу для размещения вредоносной программы, получают преимущества в виде легальности и доступности. Однако, с помощью анализа доставки полезной нагрузки и обнаружения ключевых индикаторов компрометации, специалисты по безопасности могут предотвратить такие атаки и защитить пользователей от вредоносных программ.
Indicators of Compromise
URLs
- https://bitbucket.org/556ghfhgfhgf/fdsfdsf/downloads/dllhope.txt
- https://bitbucket.org/jaiprrfc/sds/downloads/envio4sep.txt
- https://firebasestorage.googleapis.com/v0/b/rodriakd-8413d.appspot.com/o/Pe/PeHope.txt?alt=media&token=7fe13398-6aa2-43e8-992c-35095e035362
SHA256
- 1826b8379fdfdcd53dec782fb390ed1f5e97ee7ed3b099e8c3eb5b040a992553
- 8fb6471b01c1d8122548d184ce5bceefae4df4ef0f1d1bb5c67b276c258e9125
- Ab3d8588b58152994d299fa57842798f3071cb0f550b37f1db8b42d56f8580f2
- C929354d7972f2595d805507f8896609a7b7aae74566aef9a0a5cb16f36e4fe2
- E0d40dbc6be121cf62f222295ab1e01b5ce741d37d6c4b53f3beacb38a66e8e8
