Новости DuneQuixote: поэзию для обхода антивирусов используют хакеры на Ближнем Востоке

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Неизвестная группа атакует правительственные организации.


vx47277b00u07nacr2f4bsktpdu1khll.jpg


Лаборатория Касперского Для просмотра ссылки Войди или Зарегистрируйся ранее неизвестную кампанию кибершпионажа, направленную против правительственной организации на Ближнем Востоке. Злоумышленник тайно шпионит за целью и собирал конфиденциальные данные, используя тщательно продуманный набор инструментов, разработанных для скрытности и устойчивости.

Первоначальный загрузчик вредоносного ПО маскируется под установочный файл Total Commander. дроппер содержит строки из испанских стихов, причем строки меняются от одного образца к другому. Такой механизм направлен на изменение сигнатуры каждого образца, что усложняет обнаружение традиционными методами.

Также отмечается, что загрузчик реализует дополнительные проверки антианализа, которые предотвращают соединение с C2-сервером, если в системе установлен отладчик или инструмент мониторинга, положение курсора не меняется через определенное время, количество доступной оперативной памяти менее 8 ГБ, а емкость диска менее 40 ГБ.

В дроппер встроен вредоносный код, предназначенный для загрузки бэкдора CR4T. Имплантат CR4T, разработанный на C/C++ и GoLang , предоставляет хакеру доступ к консоли на зараженном компьютере, выполняет файловые операции, а также загружает и выгружает файлы после установки контакта с C2-сервером.

Кроме того, Golang-вариант CR4T способен обеспечить постоянство за счет использования техники перехвата COM-объектов ( COM Hijacking ) и использования Telegram API для связи с C2-сервером.

Телеметрия Лаборатории Касперского выявила жертву на Ближнем Востоке еще в феврале 2024 года. Кроме того, в конце 2023 года произошло несколько загрузок одного и того же вредоносного ПО в полупубличный сервис сканирования вредоносных программ, всего было отправлено более 30 заявок. Другие источники, предположительно представляющие собой выходные узлы VPN, расположены в Южной Корее, Люксембурге, Японии, Канаде, Нидерландах и США.
 
Источник новости
www.securitylab.ru

Похожие темы