TTL OSINT

Плохая откидная дверь

Bad Space, также известный как Warm Cookie, представляет собой новый бэкдор, реализуемый с помощью многоступенчатой атаки на зараженные веб-сайты. Он использует законные, но скомпрометированные веб-сайты для отслеживания пользователей и доставки вредоносного ПО. Атака включает установку файла cookie для отслеживания посещений пользователем, создание URL-адреса с параметрами запроса и отправку запроса GET на URL-адрес для получения полезной информации. Вредоносная программа часто заражает сайты WordPress и внедряет вредоносный код в индексную страницу или библиотеки JavaScript. Он использует загрузчик PowerShell для загрузки Bad Space, который представляет собой обфусцированную библиотеку PE32+ DLL с функциями сохранения и защиты от "песочницы". Bad Space может делать скриншоты, выполнять команды cmd, читать и записывать файлы, а также удалять запланированные задачи. C2, используемый в этих атаках, также использовался SocGholish, а использование поддельных обновлений и JS-файлов известно как TTP SocGholish. С этим действием было связано несколько примеров проблемного пространства, и вы можете выполнить поиск по ним с помощью команды PolySwarm CLI.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.polyswarm.io/badspace-backdoor

Выборочные показатели Compromise:

• a5f16fa960fe0461e2009bd748bc9057ef5cd31f05f48b12cfd7790fa741a24e
• c7fc0661c1dabd6efd61eaf6c11f724c573bb70510e1345911bdb68197e598e7
• 2a311dd5902d8c6654f2b50f3656201f4ceb98c829678834edaeae5c50c316f5
• c437e5caa4f644024014d40e62a5436c59046efc76c666ea3f83ab61df615314
• 9bc4c44b24f4ba71a1c7f5dd1c8135544218235ae58efa81898e55515938da6a

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал