В декабре 2024 года кибербезопасность столкнулась с новыми угрозами: была выявлена многоуровневая цепочка фишинговых атак. Эти атаки использовали вводящие в заблуждение электронные письма, замаскированные под запросы на выпуск заказов, для доставки вредоносного ПО, включая Agent Tesla, Remcos RAT и XLoader.
Методы атакующих
Суть атаки заключается в следующем:
- Отправка электронных писем с вредоносными вложениями.
- Прикрепленные файлы представляют собой архивы, содержащие скрипты для заражения хостинга.
- Получателям предлагается просмотреть файл заказа, что запускает процесс заражения.
- Фильмы, закодированные на JavaScript (.jse), служат в качестве загрузчиков.
На первом этапе атаки используется JSE-файл, который извлекает и выполняет сценарий PowerShell с удаленного сервера. Этот скрипт содержит полезную нагрузку в кодировке Base64, которая после декодирования записывается во временный каталог хоста и выполняется.
Анализ вредоносного ПО
Последующий анализ полезной нагрузки PowerShell показывает:
- Разнообразие исполняемых файлов, которые могут включать как .NET файлы, так и автоматически скомпилированные.
- Намерение злоумышленника повысить устойчивость и избежать обнаружения.
Исполняемые файлы внедряют вредоносное ПО в процессы, используя методы, такие как RegAsm.exe для внедрения Agent Tesla или аналогичные методы для развертывания XLoader. Кроме того, автоматически скомпилированные исполняемые файлы скрывают зашифрованную полезную информацию, что усложняет их обнаружение.
Технические детали атак
При изучении шелл-кода с помощью инструментов отладки, таких как IDA Pro, становится ясным, какие методы используются для отслеживания процесса его выполнения. Особенно стоит обратить внимание на функции, управляющие DLLCALLADDRESS.
Меры защиты и коллективная безопасность
Расширенная фильтрация URL-адресов и современные технологии защиты DNS продемонстрировали эффективность в выявлении вредоносных доменов, связанных с этой кампанией. Программные решения, такие как Cortex XDR и XSIAM, способны предотвращать распространение как известных, так и неизвестных вредоносных программ благодаря механизмам защиты от поведенческих угроз и продвинутым функциям машинного обучения.
Эти решения также обеспечивают защиту от средств сбора учетных данных, затрагивая ключевые элементы жизненного цикла атаки. Полученные результаты активно обсуждаются с членами Hacker Alliance, чтобы обеспечить коллективную защиту от возникающих угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Многоуровневая цепочка фишинговых атак: анализ и выводы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.