Используя многоуровневый способ загрузки, хакеры тщательно скрывают свою активность.
Китайская ИБ-компания QiAnXin Для просмотра ссылки Войдиили Зарегистрируйся новую кампанию группировка Lazarus, в ходе которой используются npm -пакеты для атак на цепочку поставок с помощью многоуровневого метода загрузки для сокрытия следов атаки.
На основе характеристик кода образцов загрузки и других связанных образцов исследователи связали их с образцами предыдущих атак Lazarus, учитывая, что Lazarus часто использует атаки на цепочку поставок.
Многоуровневый метод загрузки вредоносного ПО включает в себя следующие этапы:
Образцы также используют методы запутывания для связи с C2-сервером для избегания обнаружения и анализа, в частности RSA-шифрование. Другим методом запутывания является использование методов сжатия с использованием алгоритма gzip. Это затрудняет анализ содержимого связи.
Последующие нагрузки образцов загрузки являются троянскими программами, которые могут похищать конфиденциальную информацию (учетные данные, финансовую и личную информацию) и выполнять удаленные команды (в т.ч. устанавливать другие вредоносные программы, отслеживать активность пользователя и захватывать контроль над компьютером жертвы).
Исходя из многоуровневого метода загрузки и характеристик связи с C2-сервером, атакующие, вероятно, пытаются скрыть следы атаки и снизить риск обнаружения последующих нагрузок. Учитывая связь с Lazarus, атакующие, вероятно, будут использовать эту возможность для проведения дальнейших атак.
Китайская ИБ-компания QiAnXin Для просмотра ссылки Войди
На основе характеристик кода образцов загрузки и других связанных образцов исследователи связали их с образцами предыдущих атак Lazarus, учитывая, что Lazarus часто использует атаки на цепочку поставок.
Многоуровневый метод загрузки вредоносного ПО включает в себя следующие этапы:
- Загрузка и расшифровка встроенного файла PE, который содержит код для второго этапа загрузки. Расшифровка обычно выполняется с использованием XOR-шифрования.
- Загрузка и выполнение второго файла PE, который содержит код для установления связи с C2 -сервером и доставки последующей полезной нагрузки.
Образцы также используют методы запутывания для связи с C2-сервером для избегания обнаружения и анализа, в частности RSA-шифрование. Другим методом запутывания является использование методов сжатия с использованием алгоритма gzip. Это затрудняет анализ содержимого связи.
Последующие нагрузки образцов загрузки являются троянскими программами, которые могут похищать конфиденциальную информацию (учетные данные, финансовую и личную информацию) и выполнять удаленные команды (в т.ч. устанавливать другие вредоносные программы, отслеживать активность пользователя и захватывать контроль над компьютером жертвы).
Исходя из многоуровневого метода загрузки и характеристик связи с C2-сервером, атакующие, вероятно, пытаются скрыть следы атаки и снизить риск обнаружения последующих нагрузок. Учитывая связь с Lazarus, атакующие, вероятно, будут использовать эту возможность для проведения дальнейших атак.
- Источник новости
- www.securitylab.ru