Агент Luckystrike, используемый компанией APT group Erudite Mogwai, нацелен на ИТ-инфраструктуру в России, используя технологию внедрения Appdomain Manager для выполнения различных команд. Примечательно, что он использует OneDrive в качестве канала управления (C2), что указывает на потенциал использования и других облачных сервисов. Структура и информация об отладке указывают на то, что Luckystrike является коммерческим продуктом; он обладает модульной архитектурой и имеет признаки «платной версии», что следует из строк отладки, найденных в PDB-файле. Агент работает с использованием нескольких специальных файлов, включая «Luckystrike.dll», который служит загрузчиком для запуска основной полезной нагрузки, а также ключей шифрования и конфигураций, встроенных в «log.cache» и «NETFXSBS9.HKF». Кроме того, он использует «Uevappmonitor.exe ,» законный файл Windows, чтобы облегчить загрузка его вредоносна .СЕТЕВАЯ сборка. Вредоносное ПО разработано с использованием технологии внедрения в диспетчере доменов приложений (T1574.014), позволяющей внедрять вредоносный код в область памяти законных приложений, при этом Uevappmonitor.exe выбран в качестве цели внедрения. Конфигурационный файл вредоносной программы, «Uevappmonitor.config», содержит параметры для загрузки вредоносной полезной нагрузки. Важной особенностью вредоносной программы является использование уникальной системы идентификации агента, которая позволяет нескольким экземплярам бэкдора запускаться одновременно на одном компьютере, повышая его скрытность. Он собирает различную системную информацию, включая учетные данные пользователя, сведения о процессе и данные операционной системы, которые сериализуются и шифруются для последующей фильтрации. Его дизайн предполагает сложную взаимосвязь с экосистемой киберпреступников, что позволяет отказаться от типичных инструментов с открытым исходным кодом, которые часто адаптируются APT groups. Вместо этого он ориентирован на избранную клиентскую базу, что подтверждается его структурированной разработкой, возможным коммерческим происхождением и четкими признаками статуса собственности. Благодаря этим характеристикам, Luckystrike Agent является примером угрозы профессионального уровня, что потенциально указывает на дальнейшую эволюцию рынка вредоносного программного обеспечения, способствующую внедрению APTS. Этот многогранный подход демонстрирует растущую сложность хакерских атак и адаптивные стратегии, используемые хакерами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Luckystrike: Модульный APT-агент с облачным C2 и скрытным внедрением".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.