Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ вируса More_Eggs: сложный JavaScript-бэкдор для HR

3 мин
В последние месяцы специалисты по кибербезопасности выявили новую, высокоорганизованную угрозу под названием More_Eggs. Эта вредоносная программа представляет собой сложный JavaScript-бэкдор, разработанный и управляемый финансово мотивированной группой Venom Spider, известной также как Golden Chickens. Особенность More_Eggs заключается в том, что она распространяется в формате вредоносного ПО как услуги (MaaS), и при этом целенаправленно атакует отделы кадров (HR-службы), используя доверие к приложениям для трудоустройства для доставки своей нагрузки. Недавний анализ примера вредоносного пакета под названием Sebastian Hall.zip позволил подробно рассмотреть внутреннюю структуру атаки. В архиве присутствует: При изучении файла Sebastian Hall.lnk обнаруживается, что он нацелен на запуск системной командной оболочки cmd.exe. Однако встроенная командная строка намеренно сильно запутана: применяются фрагментация переменных, синтаксические манипуляции и другие методы обфускации, предотвращающ
Оглавление

More_Eggs – сложный JavaScript-бэкдор, угрожающий HR-системам

В последние месяцы специалисты по кибербезопасности выявили новую, высокоорганизованную угрозу под названием More_Eggs. Эта вредоносная программа представляет собой сложный JavaScript-бэкдор, разработанный и управляемый финансово мотивированной группой Venom Spider, известной также как Golden Chickens. Особенность More_Eggs заключается в том, что она распространяется в формате вредоносного ПО как услуги (MaaS), и при этом целенаправленно атакует отделы кадров (HR-службы), используя доверие к приложениям для трудоустройства для доставки своей нагрузки.

Механизм заражения и анализ кейса «Sebastian Hall.zip»

Недавний анализ примера вредоносного пакета под названием Sebastian Hall.zip позволил подробно рассмотреть внутреннюю структуру атаки. В архиве присутствует:

  • изображение-приманка;
  • Windows-ярлык (файл LNK).

При изучении файла Sebastian Hall.lnk обнаруживается, что он нацелен на запуск системной командной оболочки cmd.exe. Однако встроенная командная строка намеренно сильно запутана: применяются фрагментация переменных, синтаксические манипуляции и другие методы обфускации, предотвращающие быстрое понимание кода.

Ярлык является «сердцем» цепочки заражения, так как выполняет вредоносную команду, которая запускает пакетный скрипт. На первый взгляд этот скрипт кажется безобидным, поскольку открывает Microsoft Word для отвлечения пользователя, в это время тайно запускается вредоносный код.

Особенности вредоносного скрипта и дальнейшие этапы атаки

Скрипт дополнительно работает с легальным системным файлом ieuinit.exe, копируя его в временный каталог (%temp%) и запускает с параметрами, инициирующими вредоносные операции. Среди них – создание файла конфигурации ieuinit.inf, замаскированного под стандартный Windows-файл, но содержащего вредоносные данные и URL-адреса для связи с управляющими серверами (C2).

При выполнении ieuinit.exe вредоносное ПО загружает дополнительный JavaScript-код, усиливая свои возможности и используя обфускацию для обхода антивирусных решений. Важной особенностью More_Eggs является применение полиморфизма на стороне сервера, что позволяет создавать уникальные вариации полезной нагрузки для каждой отдельной жертвы и затрудняет детекцию.

Целевая аудитория и тактики социальной инженерии

Архитектура More_Eggs специально адаптирована для максимизации эффективности атак на сотрудников отделов кадров. Использование доверия к HR-программам и методика отвлечения пользователя во время заражения свидетельствует о продуманной тактике социальной инженерии.

Рекомендации по обнаружению заражения

Специалистам по информационной безопасности следует обратить внимание на следующие индикаторы компрометации:

  • необычное или неожиданное открытие Microsoft Word или аналогичных приложений в процессе выполнения cmd.exe;
  • запуск ieuinit.exe из каталога %temp%, вместо привычного расположения в %windir%system32;
  • наличие подозрительных LNK-файлов внутри ZIP-архивов, часто сопровождаемых ложными изображениями-приманками;
  • странные изменения в иерархии процессов, свидетельствующие о запуске скрытых вредоносных команд.

Итог и значение угрозы More_Eggs

More_Eggs демонстрирует эволюцию современных целевых вредоносных кампаний. Угрозу отличает:

  • интеллектуально продуманная обфускация и запутывание кода;
  • эффективные методики социальной инженерии;
  • постоянное изменение тактик уклонения от систем обнаружения;
  • фокус на конкретных отраслях, в частности на HR-службах.

Как результат, More_Eggs представляет собой серьёзную угрозу, требующую повышенного внимания со стороны IT-безопасников и работников кадровых служб. Тщательный мониторинг и своевременное обнаружение подобных заражений помогут существенно снизить риск успешных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ вируса More_Eggs: сложный JavaScript-бэкдор для HR".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.