Aurora Stealer

Spyware Security

Aurora - это вредоносная программа для кражи информации, которая впервые была разрекламирована на русскоязычных подпольных форумах в апреле 2022 года. Aurora предлагалась как вредоносное ПО как услуга (MaaS) субъектом угроз, известным как Cheshire. Это многоцелевой ботнет с возможностями кражи данных и удаленного доступа.

Aurora

По данным исследователей, не менее семи активных хак-групп используют исключительно Aurora, или сочетают этого вредоноса с применением Redline и Raccoon (двумя другими известными семействами малвари для кражи информации).

Aurora

 

 

В октябре и ноябре 2022 года исследователи проанализировали несколько сотен собранных образцов и выявили десятки активных C2-серверов. Эксперты также наблюдали многочисленные цепочки заражения, ведущие к развертыванию Aurora stealer. Злоумышленники использовали такие методы доставки вредоносного ПО, как фишинговые веб-сайты, маскирующиеся под легитимные, видеоролики YouTube и поддельные сайты "каталога бесплатного программного обеспечения".

Вредоносная программа также была способна атаковать 40 криптовалютных кошельков и такие приложения, как Telegram.

Угрозы, стоящие за этой вредоносной программой, также рекламировали ее возможности загрузчика, на самом деле вредоносный код способен развернуть полезную нагрузку следующего этапа с помощью команды PowerShell.

Indicators of Compromise

IPv4

  • 5.9.85.111
  • 37.220.87.2
  • 45.15.156.22
  • 45.15.156.33
  • 45.15.156.80

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Aurora.

ID Техника CWE Описание Доверие
1 T1006 CWE-21, CWE-22 Обход имени пути Высокий
2 T1055 CWE-74 Инъекция Высокий
3 T1059 CWE-94 Межсайтовый скриптинг Высокий
4 T1059.007 CWE-79, CWE-80 Межсайтовый скриптинг Высокий
SEC-1275-1
Добавить комментарий