Главная страница » Индикаторы компрометации
0
2 года
Индикаторы компрометации

Trend Micro обнаружила масштабную кибератаку с использованием NjRAT под прикрытием геополитических тем

remote access Trojan

Компания Trend Micro, один из мировых лидеров в области кибербезопасности, выявила активную вредоносную кампанию, которая продолжается как минимум с середины 2022 года. Злоумышленники используют актуальные геополитические события на Ближнем Востоке для распространения трояна NjRAT (также известного как Bladabindi). Основными целями атак стали пользователи и организации в странах Ближнего Востока и Северной Африки.

Описание

NjRAT - это троян удаленного доступа (RAT), впервые обнаруженный еще в 2013 году. Он позволяет злоумышленникам получать полный контроль над зараженными компьютерами, что делает его крайне опасным инструментом для кибершпионажа и кражи конфиденциальных данных. В прошлом этот троян уже использовался в атаках на государственные структуры, коммерческие компании и частных лиц в регионе.

Новая кампания отличается изощренной тактикой социальной инженерии. Вредоносное ПО скрывается внутри архивного файла Microsoft Cabinet (CAB), который маскируется под "чувствительный" аудиофайл. Название файла специально подобрано так, чтобы вызвать интерес у потенциальных жертв - злоумышленники используют актуальные геополитические темы, связанные с конфликтами и политическими событиями в регионе.

Распространение вредоносного файла происходит через различные каналы, включая социальные сети (преимущественно Facebook и Discord), облачные хранилища (например, OneDrive) и фишинговые электронные письма. Как только пользователь загружает и открывает CAB-файл, запускается обфусцированный VBS-скрипт (Virtual Basic Script), который выполняет следующий этап атаки.

После активации скрипт подключается к взломанному или поддельному серверу, чтобы загрузить дополнительный вредоносный код. Затем срабатывает PowerShell-скрипт, который внедряет NjRAT в систему жертвы. Этот метод позволяет злоумышленникам обходить базовые системы защиты, поскольку PowerShell является легитимным инструментом администрирования Windows, что затрудняет его блокировку.

Эксперты Trend Micro отмечают, что атака демонстрирует высокий уровень профессионализма злоумышленников. Они не только используют сложные методы обфускации кода, но и тщательно выбирают темы для социальной инженерии, чтобы увеличить шансы успешного заражения.

Для защиты от подобных угроз специалисты рекомендуют пользователям соблюдать базовые правила кибергигиены: не открывать подозрительные вложения, особенно если они приходят от неизвестных отправителей, использовать надежные антивирусные решения и регулярно обновлять операционные системы и программное обеспечение. Организациям также следует внедрять системы мониторинга сетевой активности, чтобы оперативно выявлять подозрительные подключения и предотвращать утечки данных.

Текущая кампания с использованием NjRAT подтверждает, что киберпреступники продолжают совершенствовать свои методы, адаптируясь к новым технологиям защиты. В условиях роста геополитической напряженности подобные атаки могут стать еще более изощренными и массовыми, поэтому как частные пользователи, так и корпоративные структуры должны быть особенно бдительными.

Индикаторы компрометации

Domains

  • 2525.libya2020.com.ly
  • gpla.gov.ly
  • libya2020.com.ly

URLs

  • https://fv9-2.failiem.lv/down.php?i=nvge8wkk3
  • https://fv9-2.failiem.lv/f/nvge8wkk3
  • https://gpla.gov.ly/333333/cEsITGEhOH_aaaaaa.jpg
  • https://gpla.gov.ly/4444488888/DFvKKnFBvI_HEX.jpg
  • https://gpla.gov.ly/out/5555555555555555555(OUT).jpg
  • https://www.gpla.gov.ly/news/ETErpTJVDq_DEC.jpg
  • https://www.shorturl.at/fkvxD

SHA256

  • 00d8ac438ea309ca28693b9760bf9c2a6dce079699c503f7d7ba749fdcb8f4c1
  • 2f1c9ae4477f2b990ec6d084cb00c791b4e33be4828bda947f6c600239a13d0a
  • 353e4e1f3e4002e3d4264ac3ede26991cf5dcbe24774e9c1eb6e2a6e2d730778
  • 4888c4fe2e334dcb358ca810229f1d0699c792cf8b6fbf2e1b48a66f7b2d695c
  • 4c24d601bda43317eded06b0aad61fb6734e760048193779006a1030d39f5a4a
  • 60eeb78b09fc7fe64dde782609edc2ab4eb6daff3df1db88b054932f417e5b45
  • 6560ef1253f239a398cc5ab237271bddd35b4aa18078ad253fd7964e154a2580
  • 67c4f872bff257417a98a8bb75ac110d3ca5c7d5584f2de3c5a2337d2a948710
  • 6bd72e80361c1be1a3cbe79f26d34855a0fd6483784b0de5f30bf36b4536a9c1
  • 74aad1d1c94d222b5ab92efd6c7aaf1b40c3246a44917a51d6bf6f45d6f9a65b
  • 78ac9da347d13a9cf07d661cdcd10cb2ca1b11198e4618eb263aec84be32e9c8
  • 8ecc313c38eae8fa61c67bbe37532022b6deff76ae857961fc594190cff2f7a7
  • 9bb8f517fd031f9c839cd54d8b6c04fb51768d778e0f640619b019d3ba1f7f55
  • 9c2f26dcba299e0fadd6c400adc4cef030fb5b66c10cceccf2f99849871f5490
  • a531b9fdb6c216839451aae63cd2a13e552ac1960ae3f2e298a1c8fca54b96c3
  • af1f23e8fbe2c39e30644bb6715dd272c4b237974124f4425ab4d90fb7b4c087
  • be979023ad6ab5427be284eac89929a9ce1d2fb83d6e28f7ce1748a4f3756e49
  • c03299acd37ab7c15f0d949d15f38cceacbfa817106382616e6d4064a2315942
  • d039aebefb27b463d620f462938ade04c0492f5274d0b28a44777e6de4c80673
  • f17059c48b1f2a9f80eae8dca222d5753aa3d8d20a26bf67546a084ca79e108e
Комментарии: 0
Похожие записи
0
04.05.2024
Индикаторы компрометации

XWorm RAT IOCs - Part 4

remote access Trojan
XWorm - это вредоносная программа, нацеленная на операционные системы Windows. Он известен своей скрытностью и живучестью, а также широким спектром вредоносных действий - от удаленного управления рабочим