Главная страница » Индикаторы компрометации
0
2 года
Индикаторы компрометации

DarkGate возвращается: хакеры используют Skype, Teams и SharePoint для распространения вредоносных скриптов

security

С июля по сентябрь 2023 года специалисты компании Trend Micro зафиксировали новую волну атак, связанных с вредоносной кампанией DarkGate. Злоумышленники активно использовали популярные платформы для обмена сообщениями, такие как Skype и Microsoft Teams, а также сервисы вроде SharePoint для распространения вредоносных скриптов. Основной целью атак стали организации в США, Азии, на Ближнем Востоке и в Африке.

Описание

DarkGate, ранее не проявлявший особой активности, в этом году вернулся с обновленными методами атак. Как отмечают эксперты, злоумышленники используют взломанные учетные записи Skype, чтобы отправлять жертвам файлы, замаскированные под безобидные документы. Например, файл с именем filename.pdf www.skype[.]vbs на самом деле оказывается вредоносным VBS-скриптом. Пробелы в названии создают иллюзию PDF-документа, что увеличивает шансы на успешное заражение.

В одном из случаев атака началась с того, что злоумышленник, получивший доступ к учетной записи Skype сотрудника доверенного поставщика, встроил вредоносный скрипт в переписку. После выполнения VBA-скрипт создавал случайную папку, копировал легитимный curl.exe и использовал его для загрузки AutoIt3 - инструмента, который затем запускал вредоносный скрипт .AU3 с удаленного сервера.

Аналогичная схема применялась и в Microsoft Teams, где злоумышленники отправляли ссылки на вредоносные файлы .LNK, замаскированные под документы. В отличие от Skype, где файлы выдавались за PDF, в Teams использовались ярлыки, ведущие к исполнению вредоносного кода. Trend Micro также обнаружили третий способ доставки - через сжатые файлы на SharePoint. Жертвам предлагалось загрузить архив с названием Significant company changes September.zip, внутри которого находились .LNK-файлы, имитирующие корпоративные документы.

После запуска таких файлов система выполняла цепочку команд, загружая VBS-скрипт, который, в свою очередь, копировал curl.exe, использовал его для получения AutoIt3 и финальной полезной нагрузки DarkGate. Этот многоэтапный подход позволяет злоумышленникам обходить базовые средства защиты, поскольку легитимные инструменты вроде curl и AutoIt не вызывают подозрений у антивирусов.

Эксперты предполагают, что компрометация учетных записей могла произойти из-за утечки данных на подпольных форумах или в результате предыдущих атак на организации. Рост активности DarkGate в 2023 году указывает на то, что злоумышленники адаптируют свои методы под современные корпоративные коммуникации, делая ставку на социальную инженерию и доверительные отношения между сотрудниками.

Компании, использующие Skype, Teams и SharePoint, должны усилить защиту, внедрив многофакторную аутентификацию, ограничив прием сообщений от внешних отправителей и обучая сотрудников распознаванию фишинговых атак. Кроме того, важно блокировать выполнение скриптов из временных папок и отслеживать подозрительную активность, связанную с curl и AutoIt. В противном случае DarkGate и подобные угрозы продолжат использовать уязвимости в корпоративных коммуникациях для скрытого внедрения вредоносного кода.

Индикаторы компрометации

IPv4

  • 5.188.87.58

IPv4 Port Combinations

  • 5.188.87.58:2351

Domains

  • coocooncookiedpo.com
  • Drkgatevservicceoffice.net
  • marketisportsstumi.win
  • msteamseyeappstore.com
  • onlysportsfitnessam.com
  • reactervnamnat.com
  • wmnwserviceadsmark.com

URLs

  • http://corialopolova.com/vHdLtiAzZYCsHszzP118.bin

SHA1

  • 001e4eacb4dd47fa9f49ff20b5a83d3542ad6ba2
  • 0e7b5d0797c369dd1185612f92991f41b1a7bfa2
  • 1f550b3b5f739b74cc5fd1659d63b4a22d53a3fc
  • 3229a36f803346c513dbb5d6fe911d4cb2f4dab1
  • 381bf78b64fcdf4e21e6e927edd924ba01fdf03d
  • 3cbbdfc83c4ef05c0f5c37c99467958051f4a0e1
  • 42fe509513cd0c026559d3daf491a99914fcc45b
  • 45a89d03016695ad87304a0dfd04648e8dfeac8f
  • 4c24d0fc57633d2befaac9ac5706cbc163df747c
  • 4ed69ed4282f5641b5425a9fca4374a17aecb160
  • 549cb39cea44cf8ca7d781cd4588e9258bdff2a1
  • 6585e15d53501c7f713010a0621b99e9097064ff
  • 7d3f4c9a43827bff3303bf73ddbb694f02cc7ecc
  • 924b60bd15df000296fc2b9f179df9635ae5bfed
  • 9253eed158079b5323d6f030e925d35d47756c10
  • 93cb5837a145d688982b95fab297ebdb9f3016bc
  • a3516b2bb5c60b23b4b41f64e32d57b5b4c33574
  • a85664a8b304904e7cd1c407d012d3575eeb2354
  • ad1667eaf03d3989e5044faa83f6bb95a023e269
  • cec7429d24c306ba5ae8344be831770dfe680da4
  • d40c7afee0dd9877bbe894bc9f357b50e002b7e2
  • d9a2ae9f5cffba0d969ef8edbbf59dc50586df00
  • e108fe723265d885a51e9b6125d151b32e23a949
  • e47086abe1346c40f58d58343367fd72165ddecd
  • e6347dfdaf3f1e26d55fc0ed3ebf09b8e8d60b3f
  • e6e4c7c2c2c8e370a0ec6ddb5d998c150dcb9f10
  • f3a740ea4e04d970c37d82617f05b0f209f72789
  • f7b9569a536514e70b6640d74268121162326065
Комментарии: 0
Похожие записи
0
04.04.2023
Индикаторы компрометации

OpcJacker Malware IOCs

malware
Trend Micro обнаружили новую вредоносную программу, которую мы назвали "OpcJacker" (из-за дизайна конфигурации опкода и способности перехватывать криптовалюту), которая распространяется в дикой природе со второй половины 2022 года.
0
19.09.2024
Индикаторы компрометации

WikiLoader Malware IOCs - IX

security
Команда Unit 42 Managed Threat Hunting (MTH) обнаружила новый вариант вредоносного загрузчика WikiLoader (также известного как WailingCrab). Этот загрузчик доставляется через SEO-заражения и подмену программного обеспечения GlobalProtect VPN.
0
06.04.2023
Индикаторы компрометации

Amadey: новый инструмент киберпреступников для кражи данных и распространения LockBit

security
В последнее время эксперты по кибербезопасности отмечают рост активности вредоносного загрузчика Amadey, который используется злоумышленниками для кражи конфиденциальных данных и распространения опасного ransomware-троянца LockBit.