Новости Samba как оружие: DarkGate нашел новый способ заражения

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Наследник QakBot теперь атакует пользователей через серверы Samba.


w9ghb99tk187wki1ggnuoszs4h18bezm.jpg


Специалисты Palo Alto Networks Unit 42 Для просмотра ссылки Войди или Зарегистрируйся кампанию DarkGate, в ходе которой используются файловые ресурсы Samba для распространения трояна. Активность наблюдалась в марте и апреле 2024 года, когда DarkGate использовал общедоступные серверы Samba, размещающие файлы VBS и JavaScript. Целями атак стали пользователи в Северной Америке, Европе и Азии.

Вредоносное ПО DarkGate, впервые появившееся в 2018 году, работает по модели MaaS для ограниченного числа клиентов. DarkGate обладает функциями удаленного управления зараженными хостами, выполнения кода, майнинга криптовалюты, запуска реверс-шелла ( Reverse Shell ) и доставки дополнительных полезных нагрузок. В последние месяцы атаки с использованием DarkGate Для просмотра ссылки Войди или Зарегистрируйся после международной операции, в ходе которой Для просмотра ссылки Войди или Зарегистрируйся в августе 2023 года.


1rlyfo01q085wpxxlilw8dynqfg8anwr.png


Цепочка заражения DarkGate

Обнаруженная кампания DarkGate начинается с отправки по email файлов Microsoft Excel (.xlsx), которые при открытии призывают пользователя нажать кнопку «Открыть». После нажатия на кнопку выполняется VBS-код, размещенный на Samba. VBS-код загружает с C2-сервера PowerShell-скрипт, который в конечном итоге загружает пакет DarkGate на основе AutoHotKey. Альтернативные сценарии используют JavaScript вместо VBS, чтобы загрузить и выполнить последующий скрипт PowerShell.


c0ehnsgv3uhog0fvbfvrjz31dmyzckml.png


Документ Excel побуждает жертву нажать кнопку «Открыть» для выполнения скрипта

Одним из методов антианализа DarkGate является идентификация ЦП целевой системы. Троян проверяет, запущен ли он в виртуальной среде или на физическом хосте. Проверка позволяет прекратить работу, чтобы избежать анализа в контролируемой среде. Вредоносное ПО также исследует запущенные процессы на хосте для обнаружения инструментов реверс-инжиниринга, отладчиков или программ виртуализации.

Помимо проверки информации о ЦП, DarkGate также сканирует систему на наличие множества других программ защиты от вредоносного ПО. Выявляя установленное ПО безопасности, DarkGate может избежать срабатывания механизмов обнаружения или даже отключить их, чтобы избежать дальнейшего анализа.

Трафик управления и контроля (C2) использует незашифрованные HTTP-запросы, но данные обфусцированы и представлены в виде текста, закодированного в Base64. Специалисты подчеркнули, что DarkGate продолжает развиваться и совершенствовать методы проникновения и сопротивления анализу, оставаясь громким напоминанием о необходимости надежной и проактивной защиты кибербезопасности.
 
Источник новости
www.securitylab.ru

Похожие темы