Популярні RAT Orcus і Revenge використовуються для атак на державні організації

09:13
Популярні RAT Orcus і Revenge використовуються для атак на державні організації

   Дослідники з Cisco Talos виявили ряд шкідливих кампаній, націлених на державні та фінансові організації по всьому світу. В рамках атак кіберзлочинці використовували інструменти Revenge і Orcus. За словами дослідників, все кампанії пов'язані між собою декількома унікальними тактиками, методами і процедурами, включаючи обфускацію C & C-інфраструктури, ухилення від аналізу та методи забезпечення персистентності за допомогою безфайлових шкідників.

   Revenge — загальнодоступний інструмент для віддаленого доступу (RAT), опублікований в 2016 році на форумі Dev Point. Він здатний відкривати віддалені оболонки, дозволяючи зловмисникові керувати системними файлами, процесами, реєстром і сервісами, визначати натискання клавіш і скидати паролі жертви, а також отримувати доступ до web-камери.
  Orcus являє собою інструмент віддаленого адміністрування, але також володіє можливостями трояна віддаленого доступу і може завантажувати власні плагіни.
   Оператор кампаній використовує динамічну систему доменних імен (DDNS), що вказує на сервіс Portmap для приховування C & C-інфраструктури. Сервіс дозволяє підключатися до систем, захищених міжмережевими екранами або до яких не можна безпосередньо отримати доступ з Інтернету через зіставлення портів.
  Використані в атаках зразки Revenge і Orcus є модифікованими версіями варіантів що раніше потрапили в мережу. Зловмисники внесли тільки невеликі зміни в код, достатні для того, щоб обдурити антивіруси.
   Шкідники поширювалися через фішингові листи, зловмисники доправляли їх за допомогою двох методів. Перший передбачав використання служби доставки електронної пошти SendGrid для перенаправлення жертв на шкідливі сервери. Другий метод припускав поширення шкідників через шкідливе вкладення. Для зараження систем використовувалося два варіанти завантажувача. Перший був виконуваний файл у форматі PE32, а інший — файл у форматі .bat.
     Перший завантажувач був замаскований під файл PDF. Він завантажував RAT зі свого розділу ресурсів і впроваджував PE-файл в свою додаткову копію, таким чином виконуючи його в пам'яті та уникаючи запису на диск скомпрометованої машини. Завантажувач в форматі .bat завантажував на комп'ютер жертви js-скрипт, який додає запис реєстру, призначений для завантаження Revenge за допомогою скрипта PowerShell.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.