Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили кампанию, направленную на лиц, связанных с предстоящей конференцией оборонной промышленности США и Тайваня.
Злоумышленники используют ZIP-файл, содержащий LNK-файл, замаскированный под легитимную PDF-форму регистрации на конференцию. При открытии LNK-файл извлекает PDF-файл с заманухой и исполняемый файл в base64-кодировке, помещая его в папку запуска для обеспечения устойчивости. При перезагрузке исполняемый файл загружает дополнительный вредоносный контент, исполняя его непосредственно в памяти, чтобы избежать обнаружения традиционными средствами защиты. Загрузчик первого этапа запускает второй этап, который компилирует и выполняет код C# в памяти, предотвращая создание отслеживаемых файлов на диске.
Целью этого вредоносного ПО является утечка конфиденциальных данных на сервер злоумышленника через веб-запросы, замаскированные под обычный трафик. Хотя первоначальный вектор заражения неясен, исследователи Cyble оценили документ-замануху и предположили, что целью кампании является кража ценной информации об обороне в связи с предстоящей конференцией. Такой метод выполнения в памяти усложняет обнаружение и повышает риск кражи данных.
Indicators of Compromise
URLs
- http://tdea.com.tw/asset/uploads/files/68679811.txt
- http://tdea.com.tw/asset/uploads/files/68679813.txt
- http://tdea.com.tw/asset/uploads/files/68679815.txt
- http://tdea.com.tw/ckeditor/ckfinder/core/connector/php/connector.php?command=SaveFile&type=Files¤tFolder=%2F&langCode=en&hash=f92a86fd96382c5a
SHA256
- 0e07b96c508dfc0e11f119071cca4ec628dae635771532dae7f034ed369591d7
- 4989882339d745692eabe0a375d8cecd6e7e3af534cd1173d94867b8d069cd7f
- 531db819d928243bda43997165da1fa3ebda3412e7d9928cb6bd2a8c898a85ae
- 5aaa5a7ef2eaa13e6e4274ccdb3c80251c868043fa51c2ca1e5b556a65d5166c
- 6b1af6be189e31168b8f4eff84cd475eb5d0cbd08e646760fb352165a30cb269
- df92e2c56f53c9139da70c5a813b6512df616abd56dc10dc80a625c4512cb7f2
- e0174968064b45d1b0c255bec351de94bb59852cb7f2e6ac694debbac59acb7a
