Цепочка атак, позволяющая избежать обнаружения и усложнить анализ

Цепочка атак включает несколько этапов, чтобы усложнить анализ и обойти защиту. Атакующие используют различные типы файлов и скриптов для доставки вредоносного программного обеспечения. В одном случае использовались вложения в электронных письмах, ZIP- и RAR-архивы, а также VBS- и PowerShell-скрипты. Исполняемые файлы AutoIt и .NET внедряют вредоносное ПО в запущенные процессы.

Особое внимание стоить уделить одной из цепочек атак, обнаруженных в декабре 2024 года, из-за редкого использования скомпилированных AutoIt исполняемых файлов. Фишинговые письма представляются как официальные сообщения с прикрепленным файлом заказа. Вложенный файл содержит кодировку JavaScript и выполняет цепочку заражения, используя скрипты PowerShell.

Анализ показывает, что на следующем этапе используются скомпилированные исполняемые файлы .NET или AutoIt. Это говорит о многоуровневом подходе атакующих и их стремлении обойти обнаружение. Анализ также выявил сходства между образцами .NET из этой цепочки атак. На этапе .NET полезная нагрузка шифруется и внедряется в запущенный процесс RegAsm.exe.

Заметно, что атакующие все больше используют сложные методы доставки вредоносного программного обеспечения.

Domains

• ftp.jeepcommerce.rs

SHA256

• 00dda3183f4cf850a07f31c776d306438b7ea408e7fb0fc2f3bdd6866e362ac5
• 550f191396c9c2cbf09784f60faab836d4d1796c39d053d0a379afaca05f8ee8
• 61466657b14313134049e0c6215266ac1bb1d4aa3c07894f369848b939692c49
• 7fefb7a81a4c7d4a51a9618d9ef69e951604fa3d7b70d9a2728c971591c1af25
• 8cdb70f9f1f38b8853dfad62d84618bb4f10acce41e9f0fddab422c2c253c994
• c93e37e35c4c7f767a5bdab8341d8c2351edb769a41b0c9c229c592dbfe14ff2
• d616aa11ee05d48bb085be1c9bad938a83524e1d40b3f111fa2696924ac004b2
• f4625b34ba131cafe5ac4081d3f1477838afc16fedc384aea4b785832bcdbfdd