Недавний отчет о кибербезопасности раскрывает детали сложной кибератаки, нацеленной на граждан Германии. Атака, осуществленная с использованием различных методов, таких как загрузка и проксирование DLL-файлов, а также внедрение имплантата Sliver, демонстрирует современные тактики киберпреступников.
Механизм атаки
Атака начинается с вредоносного файла LNK, который, вероятно, распространяется через фишинговые электронные письма, находясь в архиве с названием Homeoffice-Vereinbarung-2025.7z. После запуска файл LNK инициирует загрузку легальных исполняемых файлов, загружая вредоносную библиотеку DLL.
Конкретный алгоритм действий можно описать следующим образом:
- Получение: Вредоносный файл LNK встроен в архив.
- Запуск: При открытии файла LNK происходит загрузка легальных исполняемых файлов.
- Загрузка: Вредоносная библиотека DLL выполняет шеллкод в фоновом режиме.
- Имплантация: Шеллкод расшифровывает и запускает имплантат Sliver.
- Связь: Имплантат устанавливает соединение с удаленными серверами для дальнейших действий.
Состав и цели вредоносного кода
Архив Homeoffice-Vereinbarung-2025.7z содержит несколько компонентов:
- Документ-приманка, маскирующийся под соглашение с Министерством внутренних дел, написанное на немецком языке.
- Легальные исполняемые файлы.
- Вредоносные DLL-файлы.
- Зашифрованный DAT-файл.
Вредоносный DLL-файл IPHLPAPI.dll, загружаемый исполняемым файлом wksprt.exe, функционирует как прокси-сервер. Он перехватывает вызовы функций, выполняя собственный код при нормальном поведении приложения. Система создает каталог с именем InteI в локальной папке данных, в который копируются как законные, так и скрытые вредоносные файлы.
Сравнение с предыдущими кампаниями
Хотя эту кампанию сложно отнести к конкретной хакерской группе, методы, используемые в атаке, напоминают предыдущие кампании APT29. Особенностью данной атаки является использование DLL-прокси, что указывает на эволюцию тактики киберпреступников.
Заключение
Эта кибератака на граждан Германии подчеркивает изощренность хакеров в уклонении от обнаружения. Она ставит перед специалистами по кибербезопасности актуальную задачу: разработка усовершенствованных стратегий защиты, способных противостоять многоэтапным атакам. Важно осознавать, что новые тактики и методы требуют внедрения надежных мер кибербезопасности для снижения рисков.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибератака на Германию: DL-прокси и имплантат Sliver".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.