Вторник, 2 марта, 08:34
дома безопасность Хакеры используют службу WER в рамках атаки безфайлового вредоносного ПО

Хакеры используют службу WER в рамках атаки безфайлового вредоносного ПО

Хакеры опубликовали вредоносный код в легитимной Windows обслуживание, Отчет об ошибках Windows (WER), как часть безфайлового вредоносных программ атака. Внедрение вредоносного кода в этот сервис направлено на избежать обнаружения, по мнению его исследователей Malwarebytes.

Бестелесный
Хакеры используют службу WER в рамках атаки безфайлового вредоносного ПО

Использование службы WER - не новая тактика, но, по мнению исследователей Malwarebytes Хоссейна Джази и Жерома Сегура файловое вредоносное ПО атака это работа незнакомца взлом группа, направленная на шпионаж.

Злоумышленники взломали сайт для размещения своей полезной нагрузки и использовали ее. Каркас CactusTorch для выполнения бесфайловой атаки, сопровождаемой несколькими методами, предотвращающими анализ", Объясняет доклад.

Spear-phishing для установки полезной нагрузки

Нападение было впервые замечено 17 сентября, когда следователи обнаружили фишинг сообщения, содержащие вредоносный документ в формате ZIP.

Исходные вредоносные полезные нагрузки были установлены на компьютеры целей через целевой фишинг электронная почта.

Когда документ открывается, он выполняется шеллкод с помощью вредоносного макроса, идентифицированного как модуль CactusTorch VBA, который загружает полезные данные .NET непосредственно в память зараженного устройства Windows.

Затем двоичный файл запускается из памяти компьютера, не оставляя следов на жестком диске, вставив встроенный шеллкод в WerFault.exe, Windows Процесс обслуживания WER.

WER
Хакеры используют службу WER в рамках атаки безфайлового вредоносного ПО

Такой же прием используют и другие вредоносные программы (Cerber ransomware и NetWire RAT), чтобы избежать обнаружения.

Когда вредоносный код вставлен в поток службы отчетов об ошибках Windows, Хакеры проверьте, используется ли отладчик на целевом устройстве или выполняется ли полезная нагрузка на виртуальной машине или песочнице. Короче говоря, они проверяют, используются ли методы обнаружения.

Если вредоносная программа чувствует себя «достаточно безопасной», чтобы перейти к следующему шагу, она также расшифрует загрузит окончательный шелл-код в новый поток WER, который будет выполняться в новом потоке.

Последняя вредоносная программа, размещенная в сети asia-kotoba [.] В виде фальшивого значка, будет загружена и представлена ​​в новом процессе.

Исследователи Malwarebytes не смогли проанализировать окончательную полезную нагрузку.

APT32, вероятно, стоит за атакой безфайлового вредоносного ПО

Malwarebytes не смог связать атаку с определенной группой. Однако некоторые наблюдаемые индикаторы нарушений и тактики указывают на то, что они, вероятно, отстают. атака является Шпионская группа APT32 (также известная как OceanLotus и SeaLotus) при поддержке правительства Вьетнама. Например, APT32 обычно использует модуль CactusTorch VBA для распространения вариантов Denis Rat.

Также, согласно Bleeping Computer, за их хостинг и распространение фишинг электронные письма и вредоносные полезные нагрузки использовали домен (yourrighttocompensation [.] Com), зарегистрированный в Хошимине, Вьетнам.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Цифровая Крепость
Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!

ЖИВЫЕ НОВОСТИ