Операция REF8685 предоставляет важную информацию о вредоносном ПО семейства SHELBY, которое использует GitHub для командно-контрольных операций (C2) с целью избежать обнаружения. Это семейство характеризуется сложной архитектурой и критическим недостатком в структуре управления.
Основные угрозы и недостатки
Ключевым элементом, создающим риски, является персональный токен доступа (PAT), который позволяет любому, у кого он есть, управлять скомпрометированными системами. Это создает следующие угрозы:
- Потенциальный доступ злоумышленников к зараженным системам.
- Возможность манипуляций со стороны жертв, если они получат токен.
Механизм заражения
Отправной точкой для распространения вредоносного ПО является фишинговое электронное письмо, адресованное сотрудникам иракской телекоммуникационной компании. В письме содержится вложение с именем Details.zip, в котором находится исполняемый файл JPerf-3.0.0.exe. При запуске файла устанавливается вредоносное приложение Microsoft.Http.Api.exe, которое отвечает за загрузку динамической библиотеки HTTPService.dll.
Особенности работы SHELBY
Данное вредоносное ПО демонстрирует высокую степень защиты от традиционных методов безопасности, включая проверку на наличие песочниц. Вредоносная программа использует различные методы обнаружения, включая:
- Запросы WMI для проверки наличия признаков виртуализации.
- Анализ системных конфигураций (данные о процессоре, видеоадаптерах и размере диска).
Коммуникация и выполнение команд
По завершении начального этапа вредоносное ПО устанавливает постоянное присутствие на системе, изменяя реестр Windows. Затем она использует специальный метод для связи с сервером C2:
- Создание коммитов в хранилище GitHub с помощью HTTP-запросов.
- Использование встроенного PAT для аутентификации.
Созданный таким образом бэкдор может передавать системную информацию и временные метки на сервер C2, что позволяет злоумышленникам отслеживать активность системы и выполнять команды из контролируемого репозитория GitHub, включая команды PowerShell.
Тактики и методологии
Анализ REF8685 подчеркивает использование эффективной социальной инженерии, взломанной внутренней структуры электронной почты и расширенных возможностей вредоносного ПО. Используемая инфраструктура включает поддомены и схему динамического разрешения IP-адресов, что свидетельствует о высоком уровне изобретательности хакеров.
Продолжающееся развитие SHELBY демонстрирует наличие запутанного кода, что свидетельствует о постоянном совершенствовании методологий атак, потенциально ведя к более изощренным угрозам в будущем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Уязвимость токенов доступа: новая угроза от SHELBY".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
