Новости Операторы Gootkit Loader используют VLC Media Player как инструмент постэксплуатации

[NewsMaker]

Австралийский сектор здравоохранения стал целью предприимчивых и скрытных злоумышленников.​

---

---

Исследователи Trend Micro Для просмотра ссылки Войди или Зарегистрируйся , что Gootkit Loader нацелился на отрасль здравоохранения Австралии, используя отравление SEO ( Для просмотра ссылки Войди или Зарегистрируйся ) и VLC Media Player в качестве Для просмотра ссылки Войди или Зарегистрируйся .

В методах отравления SEO используются такие ключевые слова, как «больница», «здоровье», «медицина» и «корпоративное соглашение» в сочетании с названиями австралийских городов. При поиске слов, связанных с австралийской отраслью здравоохранения, «отравленные» сайты отображаются на первой странице результатов поиска. При открытии сайта появляется страница форума, которая содержит ссылку для скачивания ZIP-файла с вредоносным ПО.

ZIP-архив также содержит JavaScript-файл, который используется для обфускации и обеспечения постоянства через запланированное задание. Запланированная задача запускает PowerShell-сценарий и извлекает файлы для цепочки атаки с C&C-сервера.

---

---

Цепочка атаки Gootkit Loader Вторая стадия заражения наступает по истечении времени ожидания, которая длится от нескольких часов до двух дней. По истечении времени ожидания полезные нагрузки удаляются (msdtc.exe и libvlc.dll). «msdtc.exe» — это установщик VLC Media Player, который выдает себя за легитимный компонент Windows. С помощью метода Для просмотра ссылки Войди или Зарегистрируйся установщик загружает библиотеку «libvlc.dll» с модулем Cobalt Strike, а затем сам функционирует как Cobalt Strike.