Недавний анализ киберугроз выявил новый вредоносный скрипт на Python, который использует сложные методы кодирования и обфускации. Этот скрипт, полученный из взломанного репозитория Git, управляет запуском вредоносного ПО и использует функции, адаптируемые к различным операционным системам.
Характеристики вредоносного ПО
Вредоносный скрипт применяет несколько этапов обфускации для расшифровки и инициализации реального вредоносного кода. Ключевые аспекты его функциональности включают:
- Использование сильно закодированных строк Base64 и сжатия ZLIB.
- Запуск кода с помощью функции exec() в Python.
- Адаптация к операционным системам: Windows, macOS и Linux.
- Установка связи с сервером управления (C2) через порт 1224.
Компоненты и функциональность
Кульминацией вредоносного ПО является установка программы Tsunami, состоящей из нескольких структурированных файлов:
- sysinfo — обрабатывает связь с сервером C2 и собирает данные об ОС.
- n2/bow — считывает ключи реестра для определения наличия и версии Python.
- n2/flist — временное хранилище собранных данных перед их отправкой на сервер C2.
- n2/mlip — управляет установкой необходимых библиотек и направляет журналы действий.
- n2/pay — собирает информацию о системе и геолокации, устанавливая черный ход для SSH.
Связь с группами APT
В последние месяцы были выявлены различные вредоносные кампании, ассоциируемые с группами APT. Основные цели этих групп включают:
- Кражу данных.
- Получение финансовой выгоды.
- Шпионаж, включая финансирование ядерных проектов Северной Кореи.
Один из примеров тактики, используемой групой Lazarus APT, называется ClickFix. Эта тактика социальной инженерии заставляет жертв запускать вредоносные скрипты через ложные сообщения об ошибках.
Методы социальной инженерии
ClickFix использует следующее:
- HTML-файлы, маскирующиеся под документы Word.
- JavaScript-команды для выполнения сценариев PowerShell.
- Очистка буфера обмена после выполнения, чтобы скрыть следы.
Параллельно группы APT активно используют платформы, такие как Discord и LinkedIn, выдавая себя за авторитетные компании и предлагая потенциальным жертвам привлекательные вакансии. В результате, жертвы могут непреднамеренно загрузить вредоносное ПО, следуя инструкции в терминале.
Выводы
Сложная природа этих тактик подчеркивает важность бдительности в отношении социально спланированных атак. Постоянная адаптация хакеров требует от пользователей высокой степени осторожности и осведомленности о возникающих угрозах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Многоступенчатое вредоносное ПО: Обфускация и социальная инженерия".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.