TTL OSINT

Многоэтапная вредоносная атака с использованием поисковой системы Bing: Анализ атакующих IP-адресов и доменов с помощью инструментов поиска угроз

В недавней статье GB Hackers рассказывается о многоэтапной вредоносной атаке, которая использует поисковую систему Bing. Атака включает распространение вредоносных файлов, запуск установщиков, подключение к доменам C2, а также загрузку и внедрение бэкдоров для осуществления таких атак, как удаленное управление, кража данных и доставка дополнительной полезной нагрузки. Вредоносная программа использует результаты поиска Bing, встраивая в результаты поиска ссылки, загружающие вредоносные файлы JavaScript. Когда пользователи переходят на эти сайты, им предлагается ввести капчу и загрузить вредоносный файл JavaScript, размещенный в хранилище Google Firebase. Вредоносная программа предназначена для загрузки и выполнения пакета MSI с определенных URL-адресов, часто используя запутанный код в комментариях, чтобы избежать обнаружения. IP-адреса и домены, задействованные в атаке, такие как 85[.]208[.]108[.]30 и 85[.]208[.]108[.]63, использовались в предыдущих атаках вредоносных программ и содержат множество уязвимостей, включая CVE-2023-25690, которые имеют оценку CVSSv3 9,8. Эти уязвимости позволяют злоумышленникам удаленно использовать системы, что приводит к серьезным угрозам безопасности, таким как несанкционированный доступ, утечка данных, атаки типа "отказ в обслуживании" (DoS) или удаленное выполнение кода. Поэтому крайне важно немедленно установить исправления и внедрить усиленные меры безопасности для устранения этих уязвимостей. Методы и процедуры атаки, используемые при этом вредоносном ПО, становятся все более изощренными, что делает необходимым использование инструментов поиска угроз или расширений для проверки ссылок, чтобы убедиться в безопасности непроверенных доменов, прежде чем переходить по ним.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: href="https://blog.criminalip.io/2024/08/14/multi-stage-malware-attack-exploiting-bing-search-engine-analyzing-attack-ip-addresses-and-domains-with-threat-hunting-tools/">https://blog.criminalip.io/2024/08/14/multi-stage-malware-attack-exploiting-bing-search-engine-analyzing-attack-ip-addresses-and-domains-with-threat-hunting-tools/

Примеры признаков компромисса:

• 85.208.108.63
• appointopia.com
• grupotefex.com
• 85.208.108.30
• https://grupotefex.com/forms-pubs/about-form-w-2/

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал