Вторник, 27 октября, 20:28
дома безопасность Хакеры используют Bit.ly, BlogSpot и Pastebin для распространения RevengeRAT

Хакеры используют Bit.ly, BlogSpot и Pastebin для распространения RevengeRAT

RevengeRATНовый исследование из подразделения сети Palo Alto 42, которое раскрыло вредоносную кампанию, которая проводилась в марте и предназначалась для различных компаний и агентств в Северной Америке, Европе, Азии и на Ближнем Востоке с использованием RevengeRAT.

В частности, были совершены нападения на компании технологические, строительные, торговые, государственные и местные структуры, а также другие отрасли, такие как медицинская

В марте 2019 подразделение 42 начало расследование этого дела. Первоначально, кампания, казалось, предназначалась для организаций на Ближнем Востоке.

Однако дальнейшие исследования показали, что Ближний Восток не был главной целью. Это большая кампания, которая затрагивает США, Европу и Азию.

Кампания была хорошо организована. Он пользовался законными услугами, поэтому его было нелегко найти.

Различные варианты RevengeRAT использовались несколькими группами APT. Например, он использовался The Gorgon Group для нацеливания на Великобританию, Испанию, Россию и США.

RevengeRAT позволяет злонамеренный хакер, чтобы получить контроль над целевой системой, удаленно. Затем хакер может управлять файлами и службами, редактировать реестр Windows, красть пользовательские коды, получать доступ к камере и многое другое.

Исследователь проанализировал документ-приманку, созданный для загрузки вредоносного макро-документа, с удаленного сервера через Внедрение шаблона.

Эти макросы используют сообщения BlogSpot для получения сценария, который, в свою очередь, загружает другие сценарии и в конечном итоге попадает в конечную полезную нагрузку, RevengeRAT, которая настроена с помощью домена duckdns [.] Org для C2.

Если жертва открывает документ-приманку и следует инструкциям, данным ей, удаленный документ OLE, содержащий вредоносный макрос, будет загружен через шаблонную инъекцию.

Затем файл OLE загружает один встроенный Документ Excel, который будет загружать вредоносный скрипт с URL-адреса, используя сервис Bit.ly.

Аналогичным образом были предприняты другие атаки для загрузки вредоносного кода из домена Blogspot с вредоносным Javascript.

Вредоносный сценарий предотвращает это Microsoft Защитник и различные другие процессы во многих приложениях Office.

После загрузки вредоносный сценарий выполняет три действия: а) загружает полезную нагрузку URL-адреса Pastebin, b) создает запланированное задание для периодического получения и запуска сценария из URL-адреса Pastebin и c) создает автоматический ключ реестра. получить и запустить скрипт из URL Pastebin.

Вредоносная программа Pastebin загружается на последнем этапе. Это вариант RevengeRAT. Вариант называется «Ядерный взрыв» и использует домен lulla.duckdns [.] Org в качестве C2.

Анализ одного сокращенного адреса bit.ly показал, что в некоторых странах 1.900 его нажимали более 20. Это число показывает размер этой кампании.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

ЖИВЫЕ НОВОСТИ

00: 01: 47

Нарушение данных в юридической фирме раскрывает данные сотрудников Google

Иммиграционная юридическая фирма Fragomen, Del Rey, Bernsen & Loewy, LLP заявила, что в ней произошла утечка данных, которая привела к утечке личных данных ...

Как установить файл .watchface на Apple Watch

Apple Watch позволяет настроить циферблат часов для отображения всевозможной полезной информации. Но знаете ли вы ...

Пять крупнейших утечек данных в 21 веке

Данные становятся все более и более востребованными, поскольку наша повседневная жизнь становится все более цифровой. Технологические гиганты, монополизирующие данные, - это ...

Microsoft ограничивает доступность Windows 10 20H2

В настоящее время Microsoft ограничивает доступность Windows 10 20H2, чтобы предоставить всем пользователям, которые хотят ...

Как включить новую функцию Chrome Подробнее

Последняя версия браузера Google Chrome v86, выпущенная ранее в этом месяце, содержит секретную функцию под названием Read ...

Как выбрать собственный цвет для меню Пуск

Начиная с обновления за октябрь 2020 года, Windows 10 по умолчанию используется в теме, которая удаляет яркие цвета из ...

Телескоп НАСА обнаружил питьевую воду на Луне

Одиннадцать лет назад космический корабль навсегда изменил наш взгляд на Луну. Данные, собранные ...

Microsoft: расширяет возможности обнаружения атак с использованием паролей.

Microsoft значительно улучшила способность обнаруживать атаки со спреем паролей в Azure Active Directory (Azure AD) и достигла точки ...

Как не дать компаниям найти наш номер телефона

В эпоху рекламы чем больше известно о пользователях, тем удобнее для компаний. И, в частности, ...

Нарушение в психотерапевтической клинике привело к шантажу пациентов

Два года назад в финской психотерапевтической клинике произошла кибератака, которая привела к краже данных и требованию выкупа. Сейчас,...