Получи случайную криптовалюту за регистрацию!

​ Хакеры рассылают спам с загрузчиком Matanbuchus, заражающим | ITsec NEWS

Хакеры рассылают спам с загрузчиком Matanbuchus, заражающим системы Cobalt Strike.

 ИБ-эксперты обнаружили новую спам-кампанию: злоумышленники заражают системы жертв вредоносным ПО Matanbuchus, которое загружает на скомпрометированные машины маячки Cobalt Strike.

Cobalt Strike — это набор инструментов для тестирования на проникновение. Киберпреступники используют его для бокового перемещения по скомпрометированным сетям и загрузки дополнительных файлов.

Matanbuchus распространяется по бизнес-модели «вредоносное ПО как услуга» с февраля 2021 года. Специалисты подразделения Unit 42 ИБ-компании Palo Alto Networks проанализировали вредонос в июне 2021 года и создали карту обширных частей его операционной инфраструктуры.

Исследователю безопасности Брэду Дункану удалось заполучить образец Matanbuchus и изучить его в лабораторных условиях. Вредонос оснащен такими функциями запуска команд PowerShell, загрузки DLL-библиотек и обеспечения постоянства на системе путем добавления запланированных задач.

В ходе спам-кампании, активной и в настоящее время, злоумышленники подделывают вредоносные электронные письма под ответ на якобы отправленное жертвой письмо, добавляя в строку темы «Re:».

В вредоносном письме содержится ZIP-архив с HTML-файлом, генерирующим второй ZIP-архив. Этот второй архив извлекает MSI-пакет, подписанный действительным цифровым сертификатом, выданным компании Westeast Tech Consulting удостоверяющим центром DigiCert.

Запуск MSI-установщика инициирует обновление каталога шрифтов для Adobe Acrobat, которое завершается сообщением об ошибке с целью отвлечь внимание жертвы от происходящего на фоне. А на фоне в две разные локации загружаются две DLL-библиотеки Matanbuchus (main.dll), создается запланированная задача для сохранения постоянства на системе после перезагрузок и устанавливается соединение с C&C-сервером.

В конечном итоге Matanbuchus загружает с C&C-сервера Cobalt Strike, обеспечивая хакерам возможности для дальнейших атак.

#CobaltStrike #Хакеры #Matanbuchus

ITsec NEWS
Следующее сообщение
telegram-store.com © 2016-2024
Неофициальный сайт про Telegram
Все права защищены. Копирование и использование полных материалов запрещено, частичное цитирование возможно только при условии гиперссылки на сайт telegram-store.com.