Спамеры используют вредоносное ПО Squirrelwaffle, чтобы сбрасывать Cobalt Strike

34
Северокорейские разработчики выдают себя за американских фрилансеров и помогают хакерам правительства ДРПК

Новая вредоносная угроза под названием Squirrelwaffle появилась в дикой природе, помогая субъектам получить начальную точку опоры и способ перенести вредоносное ПО на скомпрометированные системы и сети.

Новый вредоносный инструмент распространяется через спам-кампании, отбрасывая Qakbot и Cobalt Strike в последних кампаниях.

Обнаруженный исследователями Cisco Talos, Squirrelwaffle является одним из инструментов, который появился на замену Emotet вскоре после нарушения правоохранительными органами широко используемого ботнета.

Эта новая угроза впервые появилась в сентябре 2021 года, а пик объемов распространения пришелся на конец того же месяца. В то время как спам-кампания в основном использует рассылку украденных электронных писем с цепочкой ответов на английском языке, злоумышленники также используют французские, немецкие, голландские и польские электронные письма.

Эти электронные письма содержат гиперссылки на вредоносные ZIP-архивы, размещенные на веб-серверах, контролируемых злоумышленниками, и обычно включают вредоносный .doc или .xls-вложение, которое запускает вредоносный код при открытии.

В нескольких документах, отобранных и проанализированных исследователями Talos, участники используют платформу для подписи DocuSign в качестве приманки, чтобы обманом заставить получателей включить макросы в их пакете MS Office.

Содержащийся код использует реверс строки для обфускации, записывает сценарий VBS в% PROGRAMDATA% и выполняет его.

Это действие извлекает Squirrelwaffle из одного из пяти жестко заданных URL-адресов, доставляя его в виде файла DLL в скомпрометированную систему.

Затем загрузчик Squirrelwaffle развертывает вредоносное ПО, такое как Qakbot или широко используемый инструмент тестирования на проникновение Cobalt Strike.

Cobalt Strike — это законный инструмент для тестирования на проникновение, разработанный как инфраструктура атаки для тестирования инфраструктуры организации с целью обнаружения пробелов и уязвимостей в системе безопасности.

Однако взломанные версии Cobalt Strike также используются злоумышленниками (обычно используются во время атак программ-вымогателей) для задач после эксплуатации после развертывания маяков, которые обеспечивают им постоянный удаленный доступ к скомпрометированным устройствам.

Squirrelwaffle также имеет черный список IP-адресов, который заполняется известными исследовательскими фирмами в области безопасности, чтобы избежать обнаружения и анализа.

Все коммуникации между Squirrelwaffle и инфраструктурой C2 зашифрованы (XOR + Base64) и отправляются через запросы HTTP POST.

Злоумышленники используют ранее скомпрометированные веб-серверы для поддержки аспекта распространения файлов в своих операциях, причем большинство из этих сайтов работают под управлением WordPress 5.8.1.

На этих серверах злоумышленники развертывают сценарии «антибот», которые помогают предотвратить обнаружение и анализ «белой шляпы».

Другие авторитетные участники использовали несколько методов, описанных в отчете Cisco Talos в прошлом.

Таким образом, Squirrelwaffle может быть перезагрузкой Emotet участниками, которые уклонились от правоохранительных органов или других злоумышленников, пытающихся заполнить пустоту, оставленную печально известным вредоносным ПО.

В связи с увеличением масштабов использования Cisco Talos советует всем организациям и специалистам по безопасности узнавать о TTP, используемых в кампаниях этого вредоносного ПО.

Последнее обновление 10 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии