AmmyyRAT

security Security

AmmyyRAT - троянская программа удаленного доступа (RAT), которая распространяется через фишинг в разных странах. Зараженные документы представляют собой одно и то же красочное изображение, которое заманивает жертву включить макросы для просмотра документа Microsoft Office. В этой последней кампании злоумышленник использовал документы .pub (Microsoft Publisher), а также более стандартные файлы .doc.

AmmyyRAT

Зараженные документы представляют собой одно и то же красочное изображение, которое заманивает жертву включить макросы для просмотра документа Microsoft Office. В этой последней кампании злоумышленник использовал документы .pub (Microsoft Publisher), а также более стандартные файлы .doc.

Когда макрос выполнится, он установит запланированную задачу, которая немедленно выполнит следующий этап атаки. Это популярный способ для авторов вредоносных программ прервать цепочку атак, отслеживаемую антивирусными решениями - вместо того, чтобы процесс Word выполнял следующий этап, он выполняется планировщиком задач. Запланированные задачи выполняют команду PowerShell, которая расшифровывается так же, как загрузка MSI-установщика с удаленного домена.

Indicators of Compromise

IPv4

  • 185.99.133.83

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые AmmyyRAT.

ID Техника CWE Описание Доверие
1 T1006 CWE-22 Обход имени пути Высокий
2 T1574 CWE-426 Ненадежный путь поиска Высокий
SEC-1275-1
Добавить комментарий