2023-07-03 17:30:02
Исследователи
Trend Micro обнаружили ранее неизвестный вектор заражения программой-вымогателем
BlackCat (ака ALPHV).
Новая кампания
BlackCat реализуется через поддельные страницы, которые имитируют официальный сайт приложения для передачи файлов
WinSCP для Windows с установщиками, зараженными вредоносным ПО.
Для чего они активно продвигаются в
Google и Bing через рекламу и имеют домены, аналогичные реальному winscp.net для утилиты, например winscp[.]com.
WinSCP (Windows Secure Copy) — это популярный бесплатный клиент SFTP, FTP, S3, SCP и файловый менеджер с открытым исходным кодом с возможностями передачи файлов SSH со статистикой в 400 000 загрузок еженедельно.
BlackCat использует программу как приманку, чтобы потенциально заразить компьютеры системных администраторов, веб-администраторов и ИТ-специалистов для получения первоначального доступа к корпоративным сетям.
Наблюдаемая атака начинается с поисковых запросов «WinSCP Download» в
Bing или Google, после чего жертва попадает на продвигаемый сайт, который затем перенаправляет пользователя на клон официального сайта
WinSCP с кнопкой загрузки.
Жертва грузит файл
ISO, содержащий setup.exe и msi.dll, первый из которых является приманкой для запуска пользователем, а второй — дроппером вредоносного ПО.
После запуска setup.exe он вызовет msi.dll, который позже извлечет папку Python из раздела DLL RCDATA в качестве реального установщика для
WinSCP, который будет установлен на машине.
В процессе также устанавливается троянизированная python310.dll и создается механизм сохраняемости с помощью ключа запуска с именем Python и значением C:\Users\Public\Music\python\pythonw.exe.
Исполняемый файл pythonw.exe загружает модифицированную запутанную python310.dll, содержащую
Cobalt Strike, который подключается к адресу С2.
Уже на последующих этапах операторы
ALPHV используют:
AdFind, команды PowerShell, AccessChk64, Findstr, PowerView, скрипты Python, PsExec, BitsAdmin, Curl, AnyDesk, KillAV BAT, PuTTY Secure Copy.
Наряду с ними
ALPHV также применяли
Terminator EDR Killer (Spyboy), который, согласно недавнему исследованию
CrowdStrike, способен обходить несколько инструментов безопасности
Windows, используя
BYOVD.
Trend Micro с уверенностью связывает замеченные в атаках TTP с
ALPHV. Но вместе с тем, исследователи также обнаружили файл
Clop в одном из исследованных доменов C2, полагая, что субъект угрозы может быть связан с несколькими операциями ransomware.
6.5K viewsedited 14:30