Исследовательская группа Securonix по изучению угроз выявила новую вредоносную кампанию под названием OBSCURE#BAT, которая использует сложные методы социальной инженерии и загрузку обманчивых файлов для установки руткита пользовательского режима, идентифицированного как r77. Эта кампания представляет собой серьезную угрозу, так как она затрагивает широкую аудиторию англоязычных пользователей.
Методы нападения и реализация
Атака начинается с того, что пользователь загружает, казалось бы, легальный файл, например, пакетный скрипт, встроенный в ZIP-архив (например, sip.zip). Далее, выполняя этот файл, он запускает.
Процесс атаки включает в себя следующие действия:
- Манипулирование переменными среды;
- Выполнение сценариев PowerShell;
- Изменение реестра Windows;
- Планирование задач для обеспечения сохраняемости.
Технические особенности руткита r77
Руткит r77 является примером функциональности руткита в пользовательском режиме. Он остается работоспособным в ring 3 и избегает обнаружения механизмами безопасности на уровне ядра. Это позволяет ему незаметно манипулировать процессами и файлами Windows.
Ключевые возможности r77:
- Скрытие процессов;
- Отслеживание действий пользователя (например, буфер обмена и история команд);
- Создание скрытых файлов для потенциальной утечки данных.
Методы обмана пользователей
Одним из ключевых компонентов атаки является использование доменов с опечатками. Это позволяет обманом заставить пользователей взаимодействовать с поддельными капчами Cloudflare, что в конечном итоге запускает вредоносный код.
Сложность сценариев вредоносного ПО включает множество уровней обфускации и использование замены символов, что затрудняет обнаружение. Команды, представленные как законные, пытаются вписаться в обычные операции PowerShell.
Выводы и рекомендации
Кампания OBSCURE#BAT демонстрирует растущую сложность угроз, создаваемых современными злоумышленниками, и свидетельствует о высокой технической компетентности преступников. Устойчивость атаки повышается за счет создания запланированных задач, которые используют вредоносные команды PowerShell, хранящиеся в реестре.
Согласно проведенному анализу, кампания в первую очередь нацелена на англоязычных пользователей, что подтверждается инфраструктурой противника, которая, по всей видимости, базируется в США, а также некоторыми активностями в Канаде, Германии и Великобритании.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Вредоносная кампания OBSCURE#BAT использует сложные методы атаки".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.