Главная страница » Индикаторы компрометации
0
12 месяцев
Индикаторы компрометации

Новая фишинговая кампания использует многоуровневую обфускацию для распространения VenomRAT и других вредоносных программ

remote access Trojan

В апреле текущего года была выявлена сложная кибератака, в которой злоумышленники применяли многоуровневые методы обфускации для распространения вредоносной программы VenomRAT через инструмент ScrubCrypt. Позднее в рамках этой кампании был обнаружен дополнительный плагин, внедрявший в систему жертвы различные типы вредоносного ПО. Недавно эксперты по кибербезопасности зафиксировали новую фишинговую кампанию, использующую аналогичные техники уклонения от обнаружения. Атака нацелена на сотрудников компаний, маскируясь под клиентов, требующих срочных действий.

Описание

Атака начинается с рассылки фишинговых писем, имитирующих сообщения от клиентов. В письме содержится вложение в виде HTML-файла, который активирует механизм "search-ms" для загрузки LNK-файла под названием "e_Statement" с удаленных файлообменников. После открытия HTML-файла пользователем вредоносный LNK-файл отображается в проводнике Windows, привлекая внимание жертвы с помощью значка PDF, что побуждает его к запуску.

LNK-файл содержит команду, запускающую удаленный пакетный файл через процесс conhost.exe. Далее выполняется обфусцированный скрипт, скрывающий вредоносную активность за счет кодировки и манипуляций со строками. Пакетный файл открывает поддельный PDF-документ, создавая видимость легитимности, параллельно загружая два ZIP-архива через PowerShell. После извлечения содержимого архивов вредоносные файлы помещаются в скрытую папку и последовательно запускаются.

Одним из ключевых элементов атаки является загрузчик шелл-кода на Python, использующий модуль Base64 для декодирования вредоносного кода, который затем исполняется через "ctypes". Каждый Python-файл применяет уникальные ключи шифрования, что затрудняет анализ и обнаружение. Кроме того, был выявлен новый тип загрузчика, представляющий собой скомпилированную версию с дополнительным слоем обфускации.

В рамках этой кампании также используется PureHVNC - инструмент удаленного доступа, позволяющий злоумышленникам контролировать зараженные системы. В ходе расследования был обнаружен новый обфускатор Python под названием "Kramer", который шифрует исходный код с помощью случайно сгенерированного ключа. Обфусцированная программа объединяет зашифрованные данные с функциями, блокирующими стандартные команды ввода и вывода, что усложняет анализ и обратную разработку.

Эксперты предупреждают, что подобные атаки становятся все более изощренными, используя сложные методы обфускации и социальной инженерии. Для защиты сотрудникам рекомендуется проявлять бдительность при работе с вложениями в электронной почте, особенно если письмо требует срочных действий. Также важно регулярно обновлять системы защиты, использовать многофакторную аутентификацию и проводить обучение персонала по вопросам кибербезопасности.

Аналитики продолжают исследование данной кампании, чтобы выявить дополнительные векторы атак и разработать эффективные методы противодействия. Учитывая сложность и многоступенчатость атаки, компании должны усилить мониторинг сетевой активности и внедрять современные решения для обнаружения угроз на ранних этапах.

Индикаторы компрометации

Domains

  • anachyyyyy.duckdns.org
  • drvenomjh.duckdns.org
  • ghdsasync.duckdns.org
  • ncmomenthv.duckdns.org
  • vxsrwrm.duckdns.org
  • xoowill56.duckdns.org

URLs

  • https://float-suppose-msg-pulling.trycloudflare.com/

SHA256

  • 062c5f5e9cdfd731912b262297e963b6d5e1b1d114184728065522f46a5eef2f
  • 16a4de0540181bab7c5d25fcdf90838a28f2dff4ed9e0e37de3f5f1ab20afe0a
  • 1967661f7c32607f7cfcb9053aeb8dea0a9d8f49979e729be77a43628c91469f
  • 2b7ee0ccfa45d2f53098cd8aa4ce73cb00ace462d8490e6843bf05cd07854553
  • 430300b8c527259805d29ab3fd150d9d297004ff77346cc07753290d84e77e95
  • 441c4502584240624f4af6d67eded476c781ff0b72afe95ea236cc87a50e5650
  • 503ce7bcefdffb96b5de78254f947598a410b86d3aaf597c7334e248c46dae5b
  • 55134d705ccf881d011af949ad2fc0aa80dc7af50fa4a9db29b665647b869aec
  • 561f4b4e2c16f21b0db015819340fc59484e4994022c4cca46cf778006d5d441
  • 6b4f058ba41e829ff993e61b288e55552af3d98f9cd62483eeff088b26f6ab9b
  • 71b797032458aab9b4a1a203e7ca413f009af1961cffb98590e34f672574599a
  • 7292316900a0971aec0a302bc3c6632902d820804ce3b2375a9953744cab1bd9
  • 72ce64d50f9aa15b21631307d2143f426364634a7a2ee4b401ef76bd88c4ff3b
  • 7c4e613cf4db19f54030097687227809f965a951a26a44a882692ece6e642e3c
  • 8bbdd3b41a03b86f246564a23e9acd48f74428f372c4bfb0a9a3af42511661c7
  • 8d28191f647572d5e159f35ae55120ddf56209a18f2ca95a28d3ca9408b90d68
  • 90995c621718ae65ca0af4deb10a9cb895bd494df40a7b34031b17efcc63114a
  • 95a33ba5550747baf72e39b020e6215b6047983eda17250408cd6f4c16a93089
  • b393323b9834656a2999198d4f02c1a159c6034d3c20c483d22a30aab3810c0c
  • b3bb7064af80abef417e6e7775a7e14b0bd27233fd66c2252e714a4dd2ee9c21
  • d4e8bf427c196d1d5ffca52a5af7162cc5cf4df730ee3fe65b4381ac79662a15
  • e5f7efb35b7316c7ace1c322559fa9a8680ddb1ac15bef7d17e5b84c767f5b75
Комментарии: 0
Похожие записи
0
21.02.2025
Индикаторы компрометации

SecTopRAT поставляется в установщике Chrome, распространяемом через рекламу Google

remote access Trojan
Преступники снова используют рекламу Google Ads, чтобы обманом заставить пользователей загрузить вредоносное программное обеспечение (ПО). На этот раз они используют вредоносную рекламу, которая замаскирована
0
11.06.2025
Индикаторы компрометации

CyberEYE RAT Builder: опасный инструмент для киберпреступников с поддержкой Telegram

remote access Trojan
В мире кибербезопасности появился новый опасный инструмент - CyberEYE, также известный как TelegramRAT. Это модульный троян удаленного доступа (RAT), написанный на .