Осенью 2024 года компания HiSolutions провела детальное расследование по делу о краже криптовалюты, связанному со средой разработки программного обеспечения. В ходе исследования были выявлены методы доступа и внедрения вредоносного ПО, которые совпадают с тактиками текущей кибератаки, известной как «Заразное интервью», ассоциируемой с северокорейскими хакерами.
Анализ Tsunami Framework
Тщательный анализ инцидента выявил подробный образец вредоносного ПО под названием Tsunami Framework. Это сложное решение использует сеть TOR и Pastebin для управления (C2) и включает модульную архитектуру, позволяющую использовать различные инструменты для кражи учетных данных и два типа криптовалютных майнеров.
Первоначально вредоносная программа была идентифицирована исследователями Лукой Ди Доменико и Алессио Ди Санто.
Методы развертывания вредоносного ПО
Стратегия развертывания Tsunami включает в себя:
- Цепную загрузку с использованием вредоносного загрузчика BeaverTail;
- Доступ к загрузчику через сторонний домен «api.npoint.io», связанный с частным репозиторием GitHub;
- Запуск вторичной вредоносной программы, известной как InvisibleFerret.
Функции InvisibleFerret
Анализ компонента InvisibleFerret показал, что он использует программу запуска на Python с критически настроенными параметрами. Этот процесс:
- Определяет точки хранения и выполнения для Tsunami Injector и установщика;
- Устанавливает интерпретатор Python для выполнения эксплуатационных требований;
- Помещает установщик с именем «Windows Update Script.pyw» в каталог автозагрузки.
Такая установка позволяет обеспечить постоянное присутствие вредоносной программы и модифицировать системные настройки, добавляя исключения для защитника Windows.
Структура и функции вредоносной программы
Структура полезной нагрузки Tsunami указывает на использование сценариев PowerShell для добавления исключений и создания запланированных задач:
- Сценарий запуска содержит зашифрованный список из 1000 пользовательских URL-адресов Pastebin;
- Генерируется файл «TsuAmFlag.txt» для управления состоянием покоя вредоносной программы.
Вредоносная программа включает модули для сбора конфиденциальных данных, такие как учетные данные и сеансовые ключи. Одним из недавних дополнений стал модуль «SecretFileStealer», который динамически запрашивает условия со своего сервера C2 для поиска и загрузки определенных файлов.
Будущие угрозы
Следует обратить внимание на раннюю стадию разработки модуля «Ботнет», так как такие функции нетипичны для вредоносных программ этого типа. Для операций C2 вредоносное ПО подключается через несколько конечных точек, поддерживаемых доменами .onion.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ киберугроз: Новая волна атак с Tsunami Framework".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.