Лаборатория Cyble Research & Intelligence Labs (CRIL) отслеживает несколько случаев использования известных приложений и инструментов в качестве механизма доставки вредоносных файлов. Угрожающие лица используют доверие, связанное с этими приложениями, чтобы обманом заставить пользователей загрузить и выполнить их.
Cyble Research Мы столкнулись с известным инцидентом, связанным с обманным использованием файла приложения TeamViewer. TeamViewer, широко распространенное программное приложение, обеспечивает удаленное управление, совместное использование рабочих столов, проведение онлайн-совещаний, передачу файлов и совместную работу на различных устройствах.
В ходе предварительного исследования была выявлена значительная корреляция между распространением вредоносной программы njRAT и излюбленной техникой, используемой агентами угроз. Этот прием заключается в использовании доверия и распространенности популярных и легитимных приложений, таких как TeamViewer, WireShark, Process Hacker и др.
njRAT, известный под названием Bladabindi, - троянская программа удаленного доступа (RAT), обнаруженная в 2012 году. Этот вредоносный код используется преимущественно в атаках, направленных на организации, расположенные в странах Ближнего Востока.
njRAT может выполнять различные вредоносные действия, такие как регистрация нажатий клавиш, создание скриншотов, кража паролей, эксфильтрация данных, доступ к веб-камерам и микрофонам, загрузка дополнительных файлов и т.д.
Indicators of Compromise
URLs
- http://kkk.no-ip.biz
MD5
- 11aacb03c7e370d2b78b99efe9a131eb
- 8ccbb51dbee1d8866924610adb262990
SHA1
- 9b9539fec7d0227672717e126a9b46cda3315895
- b2f847dce91be5f5ea884d068f5d5a6d9140665c
SHA256
- 224ae485b6e4c1f925fff5d9de1684415670f133f3f8faa5f23914c78148fc31
- 9bcb093f911234d702a80a238cea14121c17f0b27d51bb023768e84c27f1262a
