Спамеры используют вредоносное ПО Squirrelwaffle, чтобы сбрасывать Cobalt Strike

34
Российская хакерская группа использует новую скрытую вредоносную программу Ceeloader

Новая вредоносная угроза под названием Squirrelwaffle появилась в дикой природе, помогая субъектам получить начальную точку опоры и способ перенести вредоносное ПО на скомпрометированные системы и сети.

Новый вредоносный инструмент распространяется через спам-кампании, отбрасывая Qakbot и Cobalt Strike в последних кампаниях.

Обнаруженный исследователями Cisco Talos, Squirrelwaffle является одним из инструментов, который появился на замену Emotet вскоре после нарушения правоохранительными органами широко используемого ботнета.

Эта новая угроза впервые появилась в сентябре 2021 года, а пик объемов распространения пришелся на конец того же месяца. В то время как спам-кампания в основном использует рассылку украденных электронных писем с цепочкой ответов на английском языке, злоумышленники также используют французские, немецкие, голландские и польские электронные письма.

Эти электронные письма содержат гиперссылки на вредоносные ZIP-архивы, размещенные на веб-серверах, контролируемых злоумышленниками, и обычно включают вредоносный .doc или .xls-вложение, которое запускает вредоносный код при открытии.

В нескольких документах, отобранных и проанализированных исследователями Talos, участники используют платформу для подписи DocuSign в качестве приманки, чтобы обманом заставить получателей включить макросы в их пакете MS Office.

Содержащийся код использует реверс строки для обфускации, записывает сценарий VBS в% PROGRAMDATA% и выполняет его.

Это действие извлекает Squirrelwaffle из одного из пяти жестко заданных URL-адресов, доставляя его в виде файла DLL в скомпрометированную систему.

Затем загрузчик Squirrelwaffle развертывает вредоносное ПО, такое как Qakbot или широко используемый инструмент тестирования на проникновение Cobalt Strike.

Cobalt Strike — это законный инструмент для тестирования на проникновение, разработанный как инфраструктура атаки для тестирования инфраструктуры организации с целью обнаружения пробелов и уязвимостей в системе безопасности.

Однако взломанные версии Cobalt Strike также используются злоумышленниками (обычно используются во время атак программ-вымогателей) для задач после эксплуатации после развертывания маяков, которые обеспечивают им постоянный удаленный доступ к скомпрометированным устройствам.

Squirrelwaffle также имеет черный список IP-адресов, который заполняется известными исследовательскими фирмами в области безопасности, чтобы избежать обнаружения и анализа.

Все коммуникации между Squirrelwaffle и инфраструктурой C2 зашифрованы (XOR + Base64) и отправляются через запросы HTTP POST.

Злоумышленники используют ранее скомпрометированные веб-серверы для поддержки аспекта распространения файлов в своих операциях, причем большинство из этих сайтов работают под управлением WordPress 5.8.1.

На этих серверах злоумышленники развертывают сценарии «антибот», которые помогают предотвратить обнаружение и анализ «белой шляпы».

Другие авторитетные участники использовали несколько методов, описанных в отчете Cisco Talos в прошлом.

Таким образом, Squirrelwaffle может быть перезагрузкой Emotet участниками, которые уклонились от правоохранительных органов или других злоумышленников, пытающихся заполнить пустоту, оставленную печально известным вредоносным ПО.

В связи с увеличением масштабов использования Cisco Talos советует всем организациям и специалистам по безопасности узнавать о TTP, используемых в кампаниях этого вредоносного ПО.

Предыдущая статьяЖестокая ошибка плагина WordPress позволяет подписчикам стирать сайты
Следующая статьяИранские АЗС вышли из строя после взлома распределительной сети

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here