Venom Spider использует полиморфизм на стороне сервера

security

Компания Arctic Wolf заметила рост активности у финансово мотивированной группы угроз Venom Spider, которая ведет кампанию, нацеленную на менеджеров по подбору персонала через фишинговые атаки.

Описание

Группа использует легитимные платформы для отправки фальшивых резюме с вредоносным бэкдором More_eggs, способным краденую информацию. Отмечены обновления, сделанные для более эффективного заражения и обхода безопасности. Компании рекомендуется обучать сотрудников распознавать фишинг, особенно в отделах, открывающих электронную почту регулярно.

Venom Spider переключил акцент с онлайн-платежей на отделы кадров через софистицированные фишинговые методы. Новая волна атак охватывает широкий спектр отраслей, включая розничную торговлю и аптеки, с целью создания фальшивых вакансий и распространения вредоносной программы. Отчет содержит анализ кампании и советы по борьбе с угрозой. Venom Spider продолжает эволюционировать свои тактики, нацеливаясь на специалистов по кадрам через фишинговые ссылки, шаблонные резюме и вредоносные загрузки.

Уязвимость в отделах кадров остается приоритетной для Venom Spider, который использует расширенные методы проникновения, включая серверный полиморфизм для доставки вредоносных полезных нагрузок. Группа злонамеренных хакеров применяет модульный бэкдор More_eggs для сбора информации и обхода безопасности. Venom Spider активно приспосабливается к изменяющейся среде, стремясь извлечь выгоду из финансовых мотивов и слабых мест в организациях, включая отделы кадров.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Domains
  3. URLs
  4. MD5
  5. SHA256

IPv4

  • 208.109.231.95

Domains

  • doefstf.ryanberardi.com
  • dtde.ryanberardi.com
  • tool.municipiodechepo.org

URLs

  • http://doefstf.ryanberardi.com
  • http://doefstf.ryanberardi.com/ikskck
  • http://dtde.ryanberardi.com
  • http://dtde.ryanberardi.com/ikskck
  • https://api.incapdns.kz/v1
  • https://beta.w3.org.kz/release/info
  • https://blog.jasonlees.com/latestnews/info
  • https://cast.voxcdn.kz/yui/yui-min.js
  • https://contactlistsagregator.com/j2378745678674623/ajax.php
  • https://developer.master.org.kz/api/v1
  • https://host.moresecurity.kz/host/info
  • https://onlinemail.kz/version44/info
  • https://report.monicabellucci.kz/295693495/info
  • https://ssl.gstatic.kz/ui/v2
  • https://stats.wp.org.kz/license.txt
  • https://tool.municipiodechepo.org/id/243149

MD5

  • 17158538b95777541d90754744f41f58
  • 2da2f53ffd9969aa8004d0e1060d2ed1
  • 46f142198eeeadc30c0b4ddfbf0b3ffd
  • b1e8602e283bbbdf52df642dd460a2a2
  • ebb5fb96bf2d8da2d9f0f6577766b9f1
  • ec103191c61e4c5e55282f4ffb188156

SHA256

  • 0af266246c905431e9982deab4ad38aaa63d33a725ff7f7675eb23dd75ca4d83
  • 184788267738dfa09c82462821b1363dbec1191d843da5b7392ee3add19b06fb
  • 2fef6c59fbf16504db9790fcc6759938e2886148fc8acab84dbd4f1292875c6c
  • ccb05ca9250093479a6a23c0c4d2c587c843974f229929cd3a8acd109424700d
  • f7a405795f11421f0996be0d0a12da743cc5aaf65f79e0b063be6965c8fb8016
  • f873352564a6bd6bd162f07eb9f7a137671054f7ef6e71d89a1398fb237c7a7b
Комментарии: 0