Лаборатория Cyble Research and Intelligence Lab (CRIL) обнаружила сложную многоступенчатую кампанию вредоносного ПО, использующую сценарии PowerShell для незаметного сохранения в целевых системах.
Описание
Атака начинается с вредоносного LNK-файла (ярлыка), который запускает сценарий PowerShell для загрузки дополнительного вредоносного кода. На первом этапе скрипт устанавливает постоянство, выполняя вторичные сценарии PowerShell, которые продолжают взаимодействовать с командно-контрольным (C&C) сервером. Это приводит к третьему этапу, на котором сценарий PowerShell загружает команды с сервера C&C для выполнения различных вредоносных задач, таких как эксфильтрация данных.
Анализ инфраструктуры показал, что злоумышленники используют инструмент туннелирования Chisel, позволяющий им обходить сетевые системы защиты и перемещаться внутри взломанной сети. Злоумышленники также используют прокси-сервер Netskope для маскировки коммуникаций, что еще больше повышает их скрытность. Chisel позволяет злоумышленникам получать доступ к внутренним сетям и выполнять такие действия, как сканирование внутренней сети или предоставление изолированным системам возможности загружать дополнительную полезную нагрузку, что делает эту кампанию очень уклончивой. По мнению CRIL, эта кампания является высокоорганизованной и, возможно, финансово мотивированной, использующей передовые методы для уклонения от обнаружения и сохранения долгосрочного контроля над зараженными системами.
Indicators of Compromise
URLs
- https://c2.innov-eula.com
- https://c2.innov-eula.com/feibfiuzbdofinza
- https://credit-agricole.webdav.innov-eula.com/
- https://ligolo.innov-eula.com
SHA256
- 0169283f9df2d7ba84516b3cce50d93dbb6445cc6b2201459fa8a2bc3e319ea3
- 319beca16c766f5b9f8cc4ba25f0b99f1b4769d119eb74dfd694d3f49a23a5b9
- 6332d328a6ddaa8f0c1b3353ee044df18e7867d80a0558823480bd17c14a24bc
- 6c7636e21311a2c5ab024599060d468e03d8975096c0eb923048ad89f372469e
- 8e812bb7fde8c451d2a5efc1a303f2512804f87f041b1afe2d20046d36e64830
