Хакеры опубликовали вредоносный код в легитимной Windows обслуживание, Отчет об ошибках Windows (WER), как часть безфайлового вредоносных программ атака. Внедрение вредоносного кода в этот сервис направлено на избежать обнаружения, по мнению его исследователей Malwarebytes.
Использование службы WER - не новая тактика, но, по мнению исследователей Malwarebytes Хоссейна Джази и Жерома Сегура файловое вредоносное ПО атака это работа незнакомца взлом группа, направленная на шпионаж.
Злоумышленники взломали сайт для размещения своей полезной нагрузки и использовали ее. Каркас CactusTorch для выполнения бесфайловой атаки, сопровождаемой несколькими методами, предотвращающими анализ", Объясняет доклад.
Spear-phishing для установки полезной нагрузки
Нападение было впервые замечено 17 сентября, когда следователи обнаружили фишинг сообщения, содержащие вредоносный документ в формате ZIP.
Исходные вредоносные полезные нагрузки были установлены на компьютеры целей через целевой фишинг электронная почта.
Когда документ открывается, он выполняется шеллкод с помощью вредоносного макроса, идентифицированного как модуль CactusTorch VBA, который загружает полезные данные .NET непосредственно в память зараженного устройства Windows.
Затем двоичный файл запускается из памяти компьютера, не оставляя следов на жестком диске, вставив встроенный шеллкод в WerFault.exe, Windows Процесс обслуживания WER.
Такой же прием используют и другие вредоносные программы (Cerber ransomware и NetWire RAT), чтобы избежать обнаружения.
Когда вредоносный код вставлен в поток службы отчетов об ошибках Windows, Хакеры проверьте, используется ли отладчик на целевом устройстве или выполняется ли полезная нагрузка на виртуальной машине или песочнице. Короче говоря, они проверяют, используются ли методы обнаружения.
Если вредоносная программа чувствует себя «достаточно безопасной», чтобы перейти к следующему шагу, она также расшифрует загрузит окончательный шелл-код в новый поток WER, который будет выполняться в новом потоке.
Последняя вредоносная программа, размещенная в сети asia-kotoba [.] В виде фальшивого значка, будет загружена и представлена в новом процессе.
Исследователи Malwarebytes не смогли проанализировать окончательную полезную нагрузку.
APT32, вероятно, стоит за атакой безфайлового вредоносного ПО
Malwarebytes не смог связать атаку с определенной группой. Однако некоторые наблюдаемые индикаторы нарушений и тактики указывают на то, что они, вероятно, отстают. атака является Шпионская группа APT32 (также известная как OceanLotus и SeaLotus) при поддержке правительства Вьетнама. Например, APT32 обычно использует модуль CactusTorch VBA для распространения вариантов Denis Rat.
Также, согласно Bleeping Computer, за их хостинг и распространение фишинг электронные письма и вредоносные полезные нагрузки использовали домен (yourrighttocompensation [.] Com), зарегистрированный в Хошимине, Вьетнам.
Greek
Chinese (Simplified)
English
Greek
Russian, στα πλαίσια μιας fileless malware){kind=link}