Обнаружена новая сложная вредоносная программа More_Eggs, нацеленная на отделы кадров
В последнее время специалисты в области кибербезопасности зафиксировали активность сложной вредоносной программы More_Eggs, используемой финансово мотивированной группой Venom Spider. Этот JavaScript-бэкдор распространяется как вредоносное ПО как услуга (MaaS) и нацелен преимущественно на отделы кадров, используя социальную инженерию в виде писем с заявлениями о приёме на работу для доставки полезной нагрузки.
Механизм заражения и особенности эксплуатации
Анализ одного из образцов More_Eggs под названием Sebastian Hall.zip выявил следующий ключевой механизм заражения:
- Архив содержит изображение-приманку b.jpg и вредоносный файл быстрого доступа Windows (Sebastian Hall.lnk).
- Файл LNK указывает на запуск cmd.exe с сильно запутанным пакетным скриптом в аргументах, что значительно осложняет его анализ.
- Скрипт использует фрагментацию переменных, избыточный код и синтаксические манипуляции для сокрытия простых команд, таких как echo и xcopy.
- Инициируется запуск Microsoft Word для отвлечения внимания пользователя, а также копируется системный файл ieuinit.exe в каталог %temp%.
Использование легитимного исполняемого файла ieuinit.exe, запущенного с параметром, позволяет снизить риск обнаружения. Этот файл, вероятно, запускает вредоносные операции, включая загрузку JavaScript-файлов или выполнение полезной нагрузки в формате библиотеки DLL.
Поддельные конфигурационные файлы и методы скрытности
В комплекте с More_Eggs поставляется файл ieuinit.inf, имитирующий допустимый файл конфигурации Windows INF. Однако в нем вместо стандартных разделов содержатся вредоносные данные и URL-адреса для дальнейших команд и управления.
Передача данных через ieuinit.exe происходит скрытно, с использованием команд и флагов, которые не уведомляют пользователя, обеспечивая тем самым конфиденциальность операций.
Обфускация и защита от обнаружения
JavaScript-файлы, используемые More_Eggs, проходят серьёзную обфускацию, включая серверный полиморфизм для создания уникальных полезных нагрузок для каждой жертвы. Вредоносное ПО обладает рядом продвинутых функций защиты от отладки и охоты, делая его анализ и обнаружение особенно сложными.
Рекомендации по обнаружению и противодействию
Эксперты в области кибербезопасности рекомендуют внимательно отслеживать следующие признаки потенциального заражения More_Eggs:
- Необычные запуски Microsoft Word или WordPad, связанные с файлам LNK из вложений ZIP.
- Подозрительные процессы с запуском cmd.exe, особенно если они сопровождаются сложными скриптами.
- Выполнение ieuinit.exe из каталога %temp%, а не из стандартной системной папки system32.
- Наличие LNK-файлов в ZIP-вложения, которые часто являются переносчиками More_Eggs.
Следует помнить, что бэкдор More_Eggs крадет системную информацию и устанавливает связь с серверами C2, демонстрируя модульную архитектуру, предназначенную для более глубокого и устойчивого заражения системы.
Вывод
More_Eggs представляет собой пример высокотехнологичной угрозы, использующей расширенные методы скрытности и социальную инженерию для атак на корпоративные подразделения кадровых служб. Комплексность и многоступенчатость его работы требуют от систем мониторинга и аналитиков усиленного внимания к нетипичному поведению процессов и файлов, что позволяет своевременно выявлять и блокировать такую угрозу.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ More_Eggs: изощренный JavaScript-бэкдор группы Venom Spider".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.