В последние месяцы кибербезопасность вновь оказалась под угрозой в результате продвинутой фишинговой кампании, использующей KoiLoader для реализации атак на целевые системы. Обзор данной кампании демонстрирует, как злоумышленники используют методы социальной инженерии и сложные механизмы скрытия для достижения своих целей.
Методы доступа и внедрения
Первоначальный доступ к системе жертв осуществляется через спам-письма с вложением в виде zip-файла с названием «chase_statement_march.zip«. Внутри этого архива содержится ярлык, который запускает вредоносное ПО:
- Пользователям предлагается щелкнуть по файлу быстрого доступа «chase_statement_march.lnk«.
- Файл запускает KoiLoader, загрузчик вредоносных программ.
- Ярлык использует уязвимость в Windows для скрытия аргументов командной строки, что затрудняет их анализ.
Функционал KoiLoader
После активации KoiLoader загружает ряд вредоносных файлов JScript, которые сохраняются в системном каталоге ProgramData. Он создает запланированную задачу с использованием утилиты «schtasks.exe«, что позволяет злоумышленникам получить более глубокий доступ к компьютерам жертв.
Ключевые возможности вредоносного ПО:
- Извлечение уникального идентификатора GUID компьютера из реестра.
- Динамическая генерация имен файлов для операций.
- Загрузка сценариев PowerShell для отключения антивирусной проверки Microsoft (AMSI) и управления последующей полезной нагрузкой.
- Обход защиты от виртуальных машин и дебаггеров, включая проверку сред отображения и имен файлов в пользовательских каталогах.
Канал управления и дополнительное вредоносное ПО
KoiLoader устанавливает канал управления (C2) с помощью HTTP POST-запросов. Эта связь позволяет злоумышленникам передавать критически важную информацию о зараженных системах и ожидать команд от сервера управления.
Предполагается, что KoiLoader также способен извлекать и запускать дополнительные вредоносные программы, такие как Koi Stealer, предназначенный для кражи конфиденциальной информации. Koi Stealer написан на C# и специализируется на сборе данных из скомпрометированных систем.
Устойчивость и предотвращение обнаружения
Устойчивость KoiLoader обеспечивается запланированной задачей, которая регулярно активирует вредоносное ПО в системе, предоставляя хакерам постоянный доступ. Использование мьютекса помогает предотвратить одновременный запуск нескольких экземпляров, минимизируя риск дублирования операций.
Эта последовательность атак иллюстрирует многообразие методов, применяемых KoiLoader, начиная от первоначального доступа через фишинг до сохранения контроля над скомпрометированными системами. Вредоносная программа демонстрирует высокую степень сложности, использует различные API Windows и методы обхода, что делает ее серьезной угрозой для кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака KoiLoader: сложная цепочка проникновения и утечки данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
