Злоумышленники используют доверие, присущее законным именам и каталогам, таким как собственные двоичные файлы в каталоге System32 в среде Windows.
Сопоставление законного имени или местоположения
Стратегическое размещение вредоносных исполняемых файлов в каталогах, которым обычно доверяют операционные системы и пользователи, снижает вероятность того, что вредоносное ПО вызовет подозрение или сработает в случае обнаружения.
В мае 2023 года группа разработчиков вымогательского ПО Cl0p использовала уязвимость MOVEit Transfer CVE-2023-34362 для компрометации крупных организаций. Для скрытного и постоянного подключения злоумышленники развернули веб-оболочку LEMURLOOT в каталоге MOVEit Transfer и назвали ее human2.aspx, зеркально отразив легитимный файл MOVEit human.aspx.
В другом примере CISA сообщила, что злоумышленники использовали уязвимости NetScaler CVE-2023-3519 для развертывания веб-оболочки SecretSauce. Развернутые веб-оболочки получают различные доброкачественные имена, такие как vpn.php, logout.php, log.php или prod.php, чтобы казаться легитимными.