Aurora - это вредоносная программа для кражи информации, которая впервые была разрекламирована на русскоязычных подпольных форумах в апреле 2022 года. Aurora предлагалась как вредоносное ПО как услуга (MaaS) субъектом угроз, известным как Cheshire. Это многоцелевой ботнет с возможностями кражи данных и удаленного доступа.
Aurora
По данным исследователей, не менее семи активных хак-групп используют исключительно Aurora, или сочетают этого вредоноса с применением Redline и Raccoon (двумя другими известными семействами малвари для кражи информации).
В октябре и ноябре 2022 года исследователи проанализировали несколько сотен собранных образцов и выявили десятки активных C2-серверов. Эксперты также наблюдали многочисленные цепочки заражения, ведущие к развертыванию Aurora stealer. Злоумышленники использовали такие методы доставки вредоносного ПО, как фишинговые веб-сайты, маскирующиеся под легитимные, видеоролики YouTube и поддельные сайты "каталога бесплатного программного обеспечения".
Вредоносная программа также была способна атаковать 40 криптовалютных кошельков и такие приложения, как Telegram.
Угрозы, стоящие за этой вредоносной программой, также рекламировали ее возможности загрузчика, на самом деле вредоносный код способен развернуть полезную нагрузку следующего этапа с помощью команды PowerShell.
Indicators of Compromise
IPv4
- 5.9.85.111
- 37.220.87.2
- 45.15.156.22
- 45.15.156.33
- 45.15.156.80
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Aurora.
| ID | Техника | CWE | Описание | Доверие |
| 1 | T1006 | CWE-21, CWE-22 | Обход имени пути | Высокий |
| 2 | T1055 | CWE-74 | Инъекция | Высокий |
| 3 | T1059 | CWE-94 | Межсайтовый скриптинг | Высокий |
| 4 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |