Недавнее исследование группы программ-вымогателей Agenda, также известной как Qilin, раскрыло использование ими двух известных компонентов вредоносного ПО: SmokeLoader и новый загрузчик, названный NETXLOADER. Обзор деятельности группы охватывает период с конца 2024 по начало 2025 года и подчеркивает их цели в различных отраслях и странах.
Наиболее уязвимые отрасли и географические районы
Группа Agenda нацелилась на целый ряд секторов, включая:
- Здравоохранение
- Технологии
- Финансовые услуги
- Телекоммуникации
Среди стран, затронутых атаками, можно отметить:
- США
- Нидерланды
- Бразилия
- Индия
- Филиппины
Особенности вредоносных компонентов
NETXLOADER представляет собой загрузчик на базе .NET, который отличается сложным механизмом развертывания дополнительных вредоносных программ, включая программы-вымогатели Agenda и SmokeLoader. Основные характеристики NETXLOADER:
- Сложная защита с помощью .NET Reactor 6, что затрудняет обратное проектирование.
- Работа через сеть временных, динамически генерируемых доменов для избегания обнаружения.
- Обманчивые стратегии именования файлов, которые скрывают настоящую природу загрузчика в сетевом трафике.
Что касается SmokeLoader, то он обеспечивает широкий спектр методов защиты от анализа:
- Непрозрачный предикат для манипуляции результатами дизассемблирования, вводя аналитиков в заблуждение.
- Проверка версии операционной системы Windows для обеспечения совместимости.
- Выполнение проверок на наличие виртуальной среды или отладчика перед запуском.
Тактика и методы SmokeLoader
После подтверждения подходящей среды SmokeLoader вводит следующий этап в процессе Windows Explorer, используя сложные методы отображения памяти. Это позволяет ему запускать полезную нагрузку непосредственно в памяти, что помогает избежать обнаружения на уровне диска.
Кроме того, SmokeLoader создает потоки для мониторинга запущенных процессов и заголовков окон, нацеливаясь на средства безопасности и аналитические программы с целью их завершения. Связь с инфраструктурой командования и контроля (C&C) защищена с использованием шифрования, что делает передачу команд похожей на ложные ответы о состоянии HTTP. Это позволяет загружать последующие полезные данные для продолжения жизненного цикла атаки.
Заключение
Данная информация подчеркивает растущие угрозы, исходящие от группы программ-вымогателей Agenda и их использования сложных технологий для обмана систем безопасности. В условиях постоянно меняющегося киберпространства, организациям необходимо усилить меры безопасности и быть внимательными к потенциальным рискам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ угроз: Программное обеспечение-вымогатель Agenda и его методы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.