Хакеры атакуют ПК через систему обработки ошибок Windows

Модератор: zidanchik

Аватара пользователя

Автор темы
borka
Старожил
Сообщения: 1846
Зарегистрирован: Март 2010
Репутация: 62
Пол: Мужской
Откуда: Ukraine Independent
Благодарил (а): 400 раз
Поблагодарили: 649 раз
Контактная информация:

Хакеры атакуют ПК через систему обработки ошибок Windows

#1

Сообщение borka » 03 ноя 2020, 01:00

Изображение

Неизвестная APT-группировка атакует жертв с помощью бесфайлового ПО, встраивающегося в службу Windows Error Reporting (WER, сообщения об ошибках). Впрочем, атака начинается со спиэр-фишинга.

Как выяснили эксперты компании Malwarebytes, злоумышленники скомпрометировали некий популярный веб-сайт и использовали фреймворк CactusTorch для осуществления своих атак. Первая атака этой группировки была отмечена 17 сентября 2020 г. Исследователям попались фишинговые письма, содержавшие документ в архиве ZIP. Тематика писем была связана с правом работников на некую компенсацию.

Сразу после открытия документ с помощью вредоносного макроса CactusTorch запускает шеллкод, загружающий в память системы бесфайловый вредонос (на базе .NET), который, в свою очередь, встраивает еще один шеллкод в процесс WerFault.exe — систему обработки ошибок в Windows.

Подобная методика применяется не впервые: ее использовали авторы таких вредоносов как шифровальщик Cerber и RAT-троянец NetWire.!

Инфицированная служба WER производит несколько проверок на предмет присутствия виртуализированных сред, сэндбоксов или отладчиков. Если их не обнаруживается, то производится распаковка и загрузка последнего шеллкода, который должен загрузить еще один вредоносный компонент — в виде поддельного ярлычка веб-сайта. Перехватить и проанализировать его исследователям не удалось, поскольку сервер, с которого этот компонент подтягивается, был отключен.

Исследователи не смогли с уверенностью соотнести данные атаки ни с одной известной кибергруппировкой. Некоторые индикаторы компрометации и методики позволяют предположить связь с вьетнамской группой APT32 (она же OceanLotus и SeaLotus). Эта группировка, в частности, также использует CactusTorch. Вдобавок домен, ссылки на который содержатся в фишинговых письмах (yourrighttocompensation.com) зарегистрирован в Хошимине, крупнейшем городе на севере Вьетнамской республики.

APT32 ранее атаковала компании, инвестирующие в разные отрасли вьетнамской промышленности и сферы услуг, а также исследовательские учреждения во всем мире и правозащитные организации. Кроме того, ее операторы организовывали шпионские атаки против китайских судостроительных фирм.

Тем не менее, исследователи Malwarebytes говорят, что без изучения финального вредоносного компонента утверждать, что за атаками стоит именно APT32, невозможно.

«Бесфайловые вредоносы несут особую угрозу, поскольку их обнаружение существенно затруднено, однако главный вопрос — это изначальный вектор атаки, — считает эксперт по информационной безопасности компании SEC Consult Services. — В спиэр-фишинге нет ничего радикально нового и сверхтехнологичного. Они работают только в тех случаях, когда жертвы не могут отличить мошеннические письма от легитимных. Сообщения из непроверенных источников с вложениями, которые пытаются заставить пользователя активировать содержимое, — это повод немедленно проинформировать специалистов по информбезопасности».


жЫть - хорошо, но Хорошо жЫть - лучше!
Изображение
Изображение
Изображение

  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение

Вернуться в «Информационная безопасность»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость