Недавний отчет компании Mandiant выявляет сложный загрузчик PEAKLIGHT, использующий технологии PowerShell для доставки инфокрадов «вредоносное ПО как услуга». Данная кампания подчеркивает усилия злоумышленников по обходу традиционных мер безопасности, используя легитимные инструменты и стратегии.
Механизм атаки
Атака начинается с использования файла быстрого доступа Microsoft (LNK), который подключается к сети доставки контента (CDN). Этот файл загружает JavaScript-дроппер, который, в свою очередь, доставляет полезную нагрузку и запускает сценарий PowerShell. В числе наблюдаемых полезных нагрузок, связанных с PEAKLIGHT, — LummaC2, HijackLoader и CryptBot. Загрузчик также известен под псевдонимом Emmenhtal loader.
Тактики и методы злоумышленников
Кампания PEAKLIGHT демонстрирует продолжающуюся тенденцию использования злоумышленниками:
- Законных инструментов для распространения вредоносных программ;
- Обфускации кода;
- Выполнения в памяти без записи на диск;
- Использования безобидных процессов, таких как mshta.exe и EnumWindows.
Эти методы позволяют злоумышленникам эффективно обходить защиту конечных точек.
Глубокий анализ PEAKLIGHT
Углубленный анализ исполняемого файла показал наличие встроенной запутанной полезной нагрузки JavaScript, которая использует кодировку charCode. Для расшифровки этой полезной нагрузки требуется вычесть 625 из каждого числового значения. Это позволяет получить сильно запутанный сценарий PowerShell, содержащий различные функции:
- iHU — запись двоичных данных в указанный файл;
- Xks — загрузка данных с URL-адреса;
- HNS — декодирование запутанных символов;
- xgj — выполнение скрытых команд PowerShell с использованием закодированных данных base64.
Использование AutoIt
Элементы атаки также включают использование сценариев AutoIt. Исполняемый файл update.bin, идентифицированный как файл AutoIt3, действует как средство удаления вредоносного ПО, в то время как config.bin содержит специфическую вредоносную нагрузку. Декомпиляция скрипта AutoIt раскрывает маскировку активности, использование шифрования и обход защиты через EnumWindows.
Выводы и рекомендации
Кампания PEAKLIGHT представляет собой пример опытного хакера, использующего широкий спектр инструментов и методов для распространения вредоносного ПО как услуги. Это подчеркивает важность постоянного мониторинга и обмена информацией об угрозах для эффективной защиты организаций:
- Укрепление позиций в области безопасности;
- Внедрение надежных мер безопасности;
- Адаптация к новейшим тактикам злоумышленников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кампания PEAKLIGHT: мощный загрузчик и его опасные тактики".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.