Появился новый метод атаки, использующий технологию WebDAV для размещения вредоносных файлов. Этот метод, способствующий распространению загрузчика Emmenthal, также известного как PeakLight, расследуется с декабря 2023 года.
Хостинг вредоносных файлов Webdav, способствующий скрытным атакам вредоносного ПО
Команда Sekoia TDR обнаружила более 100 вредоносных WebDAV-серверов, участвующих в распространении загрузчика Emmenhtal. На этих серверах размещены файлы «.lnk», предназначенные для загрузки дополнительных вредоносных полезных нагрузок с помощью «mshta.exe», легитимного исполняемого файла. Разнообразие полезных нагрузок вредоносного ПО позволяет предположить, что эта WebDAV-инфраструктура может быть частью более масштабной киберпреступной операции, предоставляющей IaaS нескольким злоумышленникам. Загрузчик Emmenhtal, также известный как PeakLight, печально известен своей скрытностью, исполнением только в памяти и ролью в распространении различных инфопохитителей по всему миру. Широкий спектр вредоносных программ указывает на то, что несколько злоумышленников используют один и тот же сервис. Неоднократное использование определенных AS-провайдеров в течение нескольких месяцев указывает на централизованное предложение услуг. Инфраструктура, поддерживающая загрузчик Emmenhtal, представляет собой сложную операцию, вероятно, предоставляемую в качестве услуги различным киберпреступникам. Ее способность доставлять множество вредоносных программ, сохраняя при этом скрытность, подчеркивает эволюцию угроз в сфере кибербезопасности.
Indicators of Compromise
IPv4
- 62.133.61.73
- 89.23.103.56
- 91.92.251.35
