Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вымогательская кампания: updater.exe (.NET Core 8.0) через Teams и QuickAssist

6
3 мин
Недавняя кампания по вымогательству сочетает многоступенчатую техническую эксплуатацию с активным использованием социальной инженерии, применяя законные инструменты совместной работы для повышения скрытности атак. В основе атаки — .NET-исполняемый файл, маскирующийся под легитимный updater.exe и использующий встроенную библиотеку loader.dll для запуска вредоносной полезной нагрузки. Атака реализуется как последовательность этапов: Основные технические характеристики кампании: «Использование законных инструментов совместной работы повышает уровень скрытности, позволяя злоумышленникам более эффективно обманывать жертв, используя протоколы, знакомые пользователям.» Комбинация бытовых рабочих процессов и современного .NET-исполнения создает несколько проблем для защиты: К признакам возможной инфекции и индикаторам компрометации (IoC) относятся: Для уменьшения риска и своевременного обнаружения подобных кампаний рекомендуется: Описанная кампания демонстрирует эволюцию фишинга: злоумышленник
Оглавление

Недавняя кампания по вымогательству сочетает многоступенчатую техническую эксплуатацию с активным использованием социальной инженерии, применяя законные инструменты совместной работы для повышения скрытности атак. В основе атаки — .NET-исполняемый файл, маскирующийся под легитимный updater.exe и использующий встроенную библиотеку loader.dll для запуска вредоносной полезной нагрузки.

Краткое описание механизма атаки

Атака реализуется как последовательность этапов:

  • фишинговая рассылка или сообщение в корпоративном мессенджере, направленное на обман пользователя;
  • использование знакомых инструментов — Microsoft Teams и QuickAssist — чтобы повысить доверие жертвы и облегчить передачу вредоносного файла;
  • запуск .NET-исполняемого файла (updater.exe), который выступает как оболочка;
  • загрузка и выполнение встроенной библиотеки loader.dll, содержащей основную полезную нагрузку, приводящую к вредоносным действиям (включая шифрование, кражу данных и т.д.).

Технический анализ (ключевые детали)

Основные технические характеристики кампании:

  • Платформа исполнения: .NET Core 8.0 — используется как вектор для внедрения и выполнения кода.
  • Структура файлов: updater.exe — оболочка; loader.dll — фактическая полезная нагрузка.
  • Скрытность: злоумышленники используют доверенные каналы (Teams, QuickAssist) для распространения и получения согласия пользователей на выполнение действий.
  • Социальная инженерия: сообщения имитируют легитимные запросы на обновление, удалённую помощь или совместную работу, повышая вероятность запуска вредоносного исполняемого файла.
«Использование законных инструментов совместной работы повышает уровень скрытности, позволяя злоумышленникам более эффективно обманывать жертв, используя протоколы, знакомые пользователям.»

Почему это особенно опасно

Комбинация бытовых рабочих процессов и современного .NET-исполнения создает несколько проблем для защиты:

  • легитимные каналы коммуникации снижают подозрительность получателей и уменьшают эффективность стандартных фильтров;
  • многоступенчатая модель (оболочка + DLL) повышает устойчивость вредоносного ПО к простым проверкам целостности и сигнатурам;
  • использование .NET Core 8.0 может уклоняться от старых правил детектирования, если средства безопасности не обновлены под новые runtime.

IoC и признаки компрометации

К признакам возможной инфекции и индикаторам компрометации (IoC) относятся:

  • появление или запуск файлов с именами updater.exe и loader.dll в необычных директориях;
  • запуск .NET-процессов с необычными параметрами или дочерними процессами, нехарактерными для типичных обновлений;
  • необычная сетьвая активность после запуска этих компонентов, включая исходящие соединения на неизвестные или подозрительные адреса;
  • запросы на удалённое подключение через QuickAssist или инициированные сессии Microsoft Teams с передачей исполняемых файлов.

Рекомендации по защите и реагированию

Для уменьшения риска и своевременного обнаружения подобных кампаний рекомендуется:

  • обучение пользователей — повышение осведомлённости о фишинговых сообщениях и опасностях открытия сомнительных файлов даже в рамках Microsoft Teams;
  • жёсткая политика управления исполнением — блокировка запуска неподписанных или неожиданных .NET-исполняемых файлов; применение Application Control (WDAC/AppLocker);
  • обновление средств защиты — обеспечение совместимости EDR/AV с .NET Core 8.0 и настройка правил детектирования цепочек типа «оболочка → DLL»;
  • мониторинг телеметрии — отслеживание необычных parent-child процессов, загрузок DLL в рантайм и исходящих сетевых соединений;
  • ограничение прав — принцип least privilege для пользователей и процессов; запрет на установку и запуск программ без согласования с IT;
  • процедуры реагирования — наличие playbook для изоляции заражённых систем, анализа загрузчиков и восстановления из резервных копий.

Вывод

Описанная кампания демонстрирует эволюцию фишинга: злоумышленники переходят от простых рассылок к использованию знакомых корпоративных инструментов и современных runtimes для повышения эффективности атак. Это подчёркивает необходимость комплексного подхода к безопасности — технической защиты, обновления средств обнаружения и регулярного обучения пользователей. Без этих мер организации рискуют столкнуться с более утончёнными и труднообнаружимыми угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вымогательская кампания: updater.exe (.NET Core 8.0) через Teams и QuickAssist".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Операционная система Windows
66,2 тыс интересуются