В последние недели киберпреступники активизировали вредоносную кампанию TOITOIN, нацеленную на предприятия в регионе LATAM. Атака отличается высокой сложностью и использованием многоступенчатых цепочек заражения, что значительно затрудняет ее обнаружение и нейтрализацию. Злоумышленники применяют инновационные методы, включая эксплуатацию облачных сервисов Amazon EC2, чтобы скрыть свою активность и избежать блокировки по доменным именам.
Описание
Одной из ключевых особенностей кампании является использование модулей собственной разработки, каждый из которых выполняет определенную функцию в процессе заражения. Первым этапом атаки выступает модуль загрузчика, который не только загружает последующие вредоносные компоненты, но и обходит системы анализа "песочниц" путем принудительной перезагрузки системы. Для обеспечения постоянного доступа злоумышленники используют LNK-файлы, что позволяет им сохранять контроль над зараженными системами даже после перезапуска.
Следующий этап атаки включает загрузку Krita Loader DLL - модуля, который запускается через подписанные двоичные файлы, что помогает избежать подозрений со стороны антивирусных решений. После этого в дело вступает InjectorDLL, который внедряет ElevateInjectorDLL в процесс explorer.exe. Этот модуль не только обходит защитные механизмы "песочниц", но и анализирует привилегии процессов, определяя, какой именно вредоносный код следует загрузить: либо троянец TOITOIN, либо модуль BypassUAC.
Модуль BypassUAC представляет особую угрозу, поскольку использует моникер COM Elevation Moniker для обхода контроля учетных записей пользователей (UAC). Это позволяет злоумышленникам запускать Krita Loader с повышенными привилегиями, что значительно расширяет их возможности по управлению зараженной системой.
Финальная стадия атаки - загрузка троянца TOITOIN, который использует пользовательские алгоритмы XOR-дешифрования для расшифровки конфигурационного файла. Этот файл содержит URL-адрес сервера Command & Control (C&C), куда передается зашифрованная информация о системе, включая данные об установленных браузерах и модуле защиты Topaz OFD. Если конфигурационный файл отсутствует, троянец отправляет данные через POST-запрос с использованием утилиты curl.
Эксперты по кибербезопасности отмечают, что подобные кампании становятся все более изощренными, а их обнаружение требует комплексного подхода, включающего анализ сетевого трафика, поведенческие сигнатуры и мониторинг аномальной активности. Компаниям в регионе LATAM рекомендуется усилить защиту периметра, обновить системы обнаружения вторжений и проводить регулярное обучение сотрудников по вопросам кибергигиены.
Учитывая сложность и масштабность кампании TOITOIN, специалисты прогнозируют дальнейшее развитие этой угрозы, включая возможные модификации вредоносного кода и расширение географии атак. Владельцам бизнеса и ИТ-специалистам следует оставаться бдительными и оперативно реагировать на любые подозрительные активности в своих сетях.
Индикаторы компрометации
Domains
- arquivosclientes.online
- atendimento-arquivos.com
- fantasiacinematica.online
URLs
- http://179.188.38.7
- http://191.252.203.222/Up/indexW.php
- http://afroblack.shop/CasaMoveis\ClienteD.php
- http://alemaoautopecas.com
- http://bragancasbrasil.com
- http://cartolabrasil.com
- http://contatosclientes.services
- http://ec2-3-82-104-156.compute-1.amazonaws.com/storage.php?e=Desktop-PC
- http://ec2-3-89-143-150.compute-1.amazonaws.com/storage.php?e=Desktop-PC
MD5
- 2fa7c647c626901321f5decde4273633
- 690bfd65c2738e7c1c42ca8050634166
- 7871f9a0b4b9c413a8c7085983ec9a72
- 8fc3c83b88a3c65a749b27f8439a8416
- b7bc67f2ef833212f25ef58887d5035a
- c35d55b8b0ddd01aa4796d1616c09a46
- e6c7d8d5683f338ca5c40aad462263a6