Итальянский CERT-Agid опубликовал отчет о недавней кампании распространения вредоносного ПО, в ходе которой злоумышленники использовали сложный механизм заражения и внедрили троян удаленного доступа (RAT) Asyncrat. Новые данные раскрывают методы доставки и эксплуатации вредоносного кода, а также шаги, предпринятые для локализации и нейтрализации угрозы.
Механизм распространения вредоноса
Для компрометации систем жертв злоумышленники применяли вредоносную программу Asyncrat, которую распространяли через архив TAR. Внутри архива находился JavaScript-файл, замаскированный и предназначенный для выполнения команды PowerShell. Основные этапы атаки включают:
- Запуск PowerShell-скрипта, который загружает вредоносный ресурс с платформы Aruba Drive — облачного сервиса хранения данных, действующего по аналогии с Google Drive и Dropbox;
- Декодирование загруженного PowerShell-кода с выявлением DLL (библиотеки динамических ссылок), которая вызывается с параметрами, среди которых — перевёрнутый URL, заданный переменной $gangbuster;
- Проверка хост-машины библиотекой DLL на наличие признаков запуска в виртуальной среде или других условий, препятствующих исполнению;
- При удовлетворении условий выполнение последующей загрузки и развертывание трояна Asyncrat.
Особенности трояна Asyncrat и его возможности
Asyncrat классифицируется как RAT — троян для удалённого доступа, позволяющий злоумышленникам:
- Получать несанкционированный удаленный доступ к уязвимым системам;
- Отслеживать и контролировать взломанные компьютеры;
- Выполнять произвольные команды на заражённых машинах;
- Красть конфиденциальные данные.
Анализ угроз показывает, что ранее Asyncrat распространялся вместе с рядом других вредоносных семейств, таких как Remcos, Formbooks, Avemaria и Maslogger. Это свидетельствует о наличии общей методики или тенденции, применяемой авторами данных программ.
Меры противодействия и коллективная защита
В ответ на выявленную угрозу компания Aruba оперативно взаимодействовала с CERT-Agid и другими заинтересованными сторонами для удаления вредоносного ресурса с платформы Aruba Drive, что позволило локализовать раздачу вредоносного ПО.
Кроме того, индикаторы компрометации (IOCs), связанные с кампанией, были распространены через официальный канал IoC CERT-Agid среди аккредитованных организаций. Это повысило уровень коллективной кибербезопасности и позволило экспертам заблаговременно выявлять и блокировать заражения.
Таким образом, выявленная кампания демонстрирует высокий уровень технической подготовки злоумышленников и подчеркивает важность международного сотрудничества и обмена информацией для защиты инфраструктуры от современных APT и RAT-угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Asyncrat: новая вредоносная кампания с использованием Aruba Drive".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.