Исследователи из K7 Labs выявили изощренную кампанию, направленную на распространение вредоносного ПО, использующего LNK-файлы через платформу Discord. Вредоносный файл, замаскированный под 'cyber security.lnk', открывает приманочный PDF и одновременно выполняет команды PowerShell для развёртывания вредоносного программного обеспечения.
Злоупотребление легитимными бинарными файлами
Атака обходит механизмы безопасности при помощи инструмента odbcconf.exe, используемого для запуска вредоносного DLL с именем Moq.dll. Для этого оdbcconf.exe выполняет команду: оdbcconf.exe /a {regsvr"C:\Users\Public\Nuget\moq.dll"}. Вредоносная программа создает скрытую папку NuGet в C:\Users\Public, где хранятся такие компоненты, как Dapper.dll и Newtonsoft.dll.
Продвинутые методы уклонения: Moq.dll модифицирует AmsiScanBuffer, чтобы заставить AMSI провалиться при сканировании, и изменяет EtwEventWrite в ntdll.dll, чтобы отключить трассировку событий Windows (ETW). Это предотвращает обнаружение и логирование вредоносной активности. Для достижения постоянства RAT модифицирует ключ реестра HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, чтобы он запускался вместе с explorer.exe при входе пользователя в систему.
Командное управление и возможности
RAT связывается с сервером hotchickenfly.info и генерирует уникальные идентификаторы машин. В его возможности входит захват скриншотов, изучение системной информации о установленном антивирусном программном обеспечении и эксфильтрация данных через Dropbox API с использованием жестко закодированных токенов. Коммуникации шифруются с помощью AES, что затрудняет их мониторинг и идентификацию.
Рекомендации: Кампания, впервые замеченная в Израиле, иллюстрирует тенденцию к злоупотреблению легитимными утилитами Windows (LOLBins) с целью обхода защит. Организациям рекомендуется внедрять белые списки приложений, контролировать использование LOLBin'ов и разворачивать решения для обнаружения аномального поведения на конечных точках.
Показатели компрометации: Примеры хешей: 7391C3D895246DBD5D26BF70F1D8CBAD, 2956ec73ec77757271e612b81ca122c4, 5a1d0e023f696d094d6f7b25f459391f, 92fc7724688108d3ad841f3d2ce19dc7.
