Недавняя почтовая кампания, обнаруженная командой реагирования на инциденты FortiMail, распространяла вредоносное ПО Remote Access Trojan (RAT) с использованием различных методов уклонения, нацеленных на организации в Испании, Италии и Португалии.
Описание
В кампании использовался поставщик услуг электронной почты serviciodecorreo, который прошел проверку SPF и был настроен как авторизованный отправитель для нескольких доменов. Продвинутые стратегии уклонения, такие как использование файлообменных платформ, фильтрация геолокации и Ngrok для создания защищенных туннелей, затрудняют обнаружение и маскируют происхождение атаки, способствуя распространению вредоносного ПО.
Кампания по атаке вредоносного ПО демонстрирует развивающуюся изощренность методов атаки, использующих легитимные функции средств удаленного администрирования в злонамеренных целях. Цепочка заражения включает разные PDF и HTML-файлы в каждом письме, но при этом сохраняется одна и та же схема распространения вредоносного ПО. Злоумышленники используют тактику социальной инженерии, распространяя PDF-файлы, замаскированные под счета-фактуры, и предлагая получателям загрузить HTML-файлы, содержащие вредоносную полезную нагрузку. Письма выглядят легитимными благодаря тому, что отправитель использует действующий почтовый сервис, уполномоченный отправлять письма от имени различных доменов, что увеличивает шансы обойти фильтры безопасности.
Прикрепление PDF-файлов, предлагающих получателям просмотреть счета, является базовой техникой социальной инженерии, направленной на то, чтобы побудить получателей действовать поспешно и менее осторожно. HTML-файл содержит шаг проверки, за которым следуют инструкции по нажатию кнопки, ведущие пользователей к ссылке, сгенерированной Ngrok. Используя легитимную файлообменную платформу, такую как MediaFire, для автоматической загрузки JAR-файлов, злоумышленники стремятся обойти фильтры безопасности, что затрудняет для компаний безопасности выявление и блокирование вредоносных загрузок.
В целом в этой почтовой кампании используются различные тактики для обмана получателей и доставки вредоносного ПО Ratty RAT, что подчеркивает необходимость усиления организациями мер безопасности электронной почты и обучения пользователей распознаванию и предотвращению попыток фишинга. Использование методов обфускации и достоверных сторонних сервисов делает обнаружение и предотвращение подобных атак все более сложной задачей, подчеркивая важность проактивных мер кибербезопасности для борьбы с развивающимися угрозами.
Ratty RAT - это троянец удаленного доступа (RAT) на базе Java, обычно распространяемый в виде файла .jar. Поскольку язык Java является кроссплатформенным, Ratty RAT может работать на различных операционных системах при условии, что установлена среда выполнения Java (JRE).
Злоумышленники используют Ratty RAT для выполнения удаленных команд, регистрации нажатий клавиш, захвата скриншотов и кражи конфиденциальных данных, часто в рамках кампаний социальной инженерии с использованием вредоносных вложений в электронной почте.
Хотя обычно RAT поставляется в виде файла .jar, злоумышленники могут также упаковать его в файл MSI (Microsoft Installer), чтобы повысить его легитимность и избежать обнаружения. Упаковывая RAT в MSI, злоумышленники могут замаскировать его под легитимное программное обеспечение или обновление, что облегчает обман пользователей при запуске вредоносной программы.
Индикаторы компрометации
IPv4
- 130.51.20.126
- 143.47.53.106
- 199.232.210.172
- 199.232.214.172
Domains
- jw8ndw9ev.localto.net
- l5ugb6qxh.localto.net
SHA256
- 469b8911fd1ae2ded8532a50e9e66b8d54820c18ccdba49d7a38850d6af54475
- 5f897fec78e2fd812eb3bc451222e64480a9d5bc97b746cc0468698a63470880
- 6153c80b17cb990caad1d80cac72c867d4ecfa1a84b7ab286b7373cd4168794e
- 9184ff2cdd05fcaf111db23123479c845b2ece2fedccc2524b2de592f9980876
- a1c2861a68b2a4d62b6fbfc7534f498cefe5f92f720466d24ae1b66ebc9f5731
- af8b6ac45918bc87d2a164fae888dab6e623327cba7c2409e4d0ef1dde8d1793
- d20d14792c91107f53318ff7df83b9cd98acd3c394959a74e72278682822b600