Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Продвинутые бэкдоры: угроза кибербезопасности 2024 года

2 мин
В четвертом квартале 2024 года мир кибербезопасности столкнулся с серьёзным инцидентом, связанным с деятельностью опытного хакера, использующего бэкдор на базе Python. Данная угроза обеспечила доступ к скомпрометированным конечным точкам, что дало возможность внедрить шифровальщики RansomHub в уязвимые сети. Отмеченные особенности бэкдора указывают на его эволюцию и адаптацию к современным методам защиты: В результате совместной работы с экспертами по кибербезопасности на GitHub были идентифицированы и опубликованы 18 IP-адресов C2, что значительно расширило возможности обмена информацией об угрозах. Процесс внедрения вредоносного ПО осуществлялся по четко прописанной схеме: Процесс установки и развертывания бэкдора Python включал несколько этапов: Бэкдор функционирует как обратный прокси-сервер, создавая туннель, подобный SOCKS5. Он устанавливает TCP-соединения с жестко заданным IP-адресом, после чего использует полученные данные для создания дополнительных подключений и обеспечивает
Оглавление
Изображение: www.secureblink.com
Изображение: www.secureblink.com

В четвертом квартале 2024 года мир кибербезопасности столкнулся с серьёзным инцидентом, связанным с деятельностью опытного хакера, использующего бэкдор на базе Python. Данная угроза обеспечила доступ к скомпрометированным конечным точкам, что дало возможность внедрить шифровальщики RansomHub в уязвимые сети.

Подробности инцидента

Отмеченные особенности бэкдора указывают на его эволюцию и адаптацию к современным методам защиты:

  • Использование обфускации кода с помощью PyObfuscate.com для избежания обнаружения.
  • Применение протокола удаленного рабочего стола (RDP) для горизонтального перемещения в сети.
  • Внедрение уникальных индикаторов компрометации (IoC), включая различные имена файлов, названия запланированных задач и адреса командно-контрольных пунктов (C2).

Сотрудничество с экспертами

В результате совместной работы с экспертами по кибербезопасности на GitHub были идентифицированы и опубликованы 18 IP-адресов C2, что значительно расширило возможности обмена информацией об угрозах.

Методология развертывания вредоносного ПО

Процесс внедрения вредоносного ПО осуществлялся по четко прописанной схеме:

  1. Первоначальный доступ через SocGholish (FakeUpdate).
  2. Развертывание бэкдора Python в скомпрометированной системе.
  3. Горизонтальное перемещение через инфекцию дополнительных систем с использованием RDP.

Технические детали бэкдора

Процесс установки и развертывания бэкдора Python включал несколько этапов:

  • Переход к целевому каталогу.
  • Установка Python и настройка PIP с необходимыми библиотеками.
  • Создание прокси-скрипта Python и организация постоянности выполнения через запланированные задачи.

Бэкдор функционирует как обратный прокси-сервер, создавая туннель, подобный SOCKS5. Он устанавливает TCP-соединения с жестко заданным IP-адресом, после чего использует полученные данные для создания дополнительных подключений и обеспечивает связь с хакерами.

Новые тенденции и вызовы

В отчете также подчеркивается растущее внедрение искусственного интеллекта (ИИ) в разработку вредоносных программ, что представляет собой новую тенденцию в киберугрозах. Это говорит о необходимости постоянного мониторинга и совместных усилий для эффективного противодействия развивающимся угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Продвинутые бэкдоры: угроза кибербезопасности 2024 года".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.