Компания Cyble Research and Intelligence Labs (CRIL) обнаружила новую тенденцию, в которой злоумышленники все чаще используют LNK-файлы в качестве вектора заражения. Эти вредоносные файлы ярлыков маскируются под легитимные документы и становятся точкой входа в системы, чтобы обойти традиционные механизмы безопасности и инициировать многоступенчатую кибератаку.
Описание
Злоумышленники разрабатывают LNK-файлы для выполнения команд с использованием двоичных файлов Living-off-the-Land (LOLBins), чтобы загрузить и исполнить дополнительные вредоносные компоненты.
CRIL также обнаружила использование команд SSH в вредоносных LNK-файлах для выполнения вредоносных действий. Эта новая техника подчеркивает использование команд SSH для поддержания постоянства и контроля над взломанными системами.
Группы постоянных угроз (APT) также начали использовать эту технику, что свидетельствует о ее растущем использовании в сложных киберкампаниях.
CRIL отследила несколько кампаний, в которых команды SSH использовались для выполнения вредоносных операций, таких как загрузка и выполнение вредоносных файлов на локальных системах.
Также обнаружены другие вредоносные LNK-файлы, использующие команды SSH для выполнения PowerShell и загрузки вредоносных DLL.
Анализ этих атак показал использование вредоносного ПО для кражи информации и браузерных данных на базе Chromium.
Indicators of Compromise
SHA256
- 0016e1ec6fc56e4214e7d54eb7ab3d84a4a83b4befd856e984d77d6db8fc221d
- 5b6dc2ecb0f7f2e1ed759199822cb56f5b7bd993f3ef3dab0744c6746c952e36
- 8bd210b33340ee5cdd9031370eed472fcc7cae566752e39408f699644daf8494
