È stato osservato un nuovo attacco a più stadi che fornisce famiglie di malware come le varianti dell’agente Tesla, il ratto Remcos e Xloader.
“Gli aggressori si affidano sempre più a meccanismi di consegna così complessi per eludere il rilevamento, bypassare i tradizionali sandbox e garantire la consegna e l’esecuzione del carico utile di successo”, il ricercatore Palo Alto Networks Unit 42 Saqib Khanzada disse In una scrittura tecnica della campagna.
Il punto di partenza dell’attacco è un’e-mail ingannevole che rappresenta una richiesta di ordine per fornire un allegato di archivio a 7 cip dannoso, che contiene un file JavaScript codificato (.JSE).
L’e -mail di phishing, osservata nel dicembre 2024, affermava falsamente che period stato effettuato un pagamento e sollecitò il destinatario a rivedere un file di ordine allegato. L’avvio del payload JavaScript innesca la sequenza di infezione, con il file che funge da downloader per uno script PowerShell da un server esterno.
Lo script, a sua volta, ospita un payload codificato da Base64 che successivamente viene decifrato, scritto nella listing temporanea di Home windows ed eseguito. Ecco dove succede qualcosa di interessante: l’attacco porta a un contagocce in fase successiva che viene compilato usando .NET o AUTOIT.
In caso di eseguibile .NET, il payload incorporato crittografato – una variante Tesla agente sospettata di essere Snake Keylogger O Xloader – è decodificato e iniettato in un processo “regadasm.exe” in esecuzione, una tecnica osservata in campagne dell’agente passato Tesla.
L’eseguibile compilato Autoit, d’altra parte, introduce un livello aggiuntivo nel tentativo di complicare ulteriormente gli sforzi di analisi. Lo script AutoIT all’interno dell’esecutabile incorpora un payload crittografato responsabile del caricamento del code finale, causando l’iniezione di file .NET in un processo “RegSvcs.exe”, portando alla nice all’agente Tesla Deployment.
“Ciò suggerisce che l’attaccante impiega molteplici percorsi di esecuzione per aumentare la resilienza ed eludere il rilevamento”, ha osservato Kanzada. “L’attenzione dell’attaccante rimane su una catena di attacco a più livelli piuttosto che sofisticata offuscamento”.
“Impilando semplici fasi invece di concentrarsi su tecniche altamente sofisticate, gli aggressori possono creare catene di attacco resilienti che complicano l’analisi e il rilevamento.”
Ironhusky offre una nuova versione di Mysterysnail Rat
La divulgazione arriva come Kaspersky dettagliato Una campagna che si rivolge alle organizzazioni governative situate in Mongolia e in Russia con una nuova versione di un malware chiamato Mysterysnail Rat. L’attività è stata attribuita a un attore di minaccia di lingua cinese soprannominata Ironhusky.
Ironhusky, valutato per essere attivo almeno dal 2017, period precedentemente documentato Dalla società di sicurezza informatica russa nell’ottobre 2021 in relazione allo sfruttamento zero-day di CVE-2021-40449, un difetto di escalation dei privilegi di Win32K, per consegnare Mysterysnail.
Le infezioni provengono da una sceneggiatura maliziosa di Microsoft Administration Console (MMC) che imita un documento Phrase della Nationwide Land Company of Mongolia (“Letter_alamgac”). La sceneggiatura è progettata per recuperare un archivio con zip con un documento di esca, un binario legittimo (“ciscocollabhost.exe”) e una dll dannosa (“ciscosparklauncher.dll”).
Non è esattamente noto come lo script MMC sia distribuito agli obiettivi di interesse, sebbene la natura del documento di esca suggerisca che potrebbe essere stata attraverso una campagna di phishing.
COME osservato in molti attacchi“Ciscocollabhost.exe” viene utilizzato per scendere la DLL, un backdoor intermedio in grado di comunicare con l’infrastruttura controllata dagli attaccanti sfruttando la supply aperta Server di piping progetto.
Il backdoor supporta le funzionalità per eseguire shell di comandi, obtain/caricamento di file, elencare il contenuto della listing, eliminare i file, creare nuovi processi e terminare se stesso. Questi comandi vengono quindi utilizzati per mettersi in sella al ratto Mysterysnail.
L’ultima versione del malware è in grado di accettare quasi 40 comandi, consentendogli di eseguire operazioni di gestione dei file, eseguire comandi tramite CMD.EXE, Spawn and Kill Course of, gestire i servizi e connettersi alle risorse di rete tramite moduli DLL dedicati.
Kasperksy ha affermato di aver osservato che gli aggressori hanno lasciato cadere una “versione riproposta e più leggera” della Mysterysnail in codice Mysterymonosnail dopo che le aziende preventive sono state intraprese per bloccare le intrusioni.
“Questa versione non ha tante funzionalità della versione di Mysterysnail Rat”, ha osservato la società. “È stato programmato per avere solo 13 comandi di base, utilizzati per elencare i contenuti della listing, scrivere dati ai file e avviare processi e shell distant.”
