TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьПоддельные обновления браузера приводят к появлению программного обеспечения для добровольных вычислений BOINC | Huntress
Компания Huntress выявила новую тенденцию в кампаниях вредоносного ПО SocGholish, где конечная полезная нагрузка представляет собой модифицированную версию AsyncRAT, а сервер C2 размещен на [.highlight]rzegzwre[.]top[.highlight]. Цепочка заражения начинается с вредоносного файла Javascript, который загружает более поздние этапы цепочки уничтожения, включая безфайловый вариант AsyncRAT и вредоносную установку BOINC. Доступ к цепочке BOINC осуществляется напрямую по IP, а загрузчики PowerShell сильно запутаны. Конечная полезная нагрузка подключается к серверу C2 и создает запланированную задачу, которая запускает подозрительный файл из каталога [.highlight]%appdata%[.highlight], потенциально помечая хост как зараженный. Использование BOINC таким образом необычно и было замечено Huntress и администраторами проекта BOINC. Аналогичное поведение, пути к файлам, домены серверов и имена файлов для клиента BOINC были замечены Huntress и другими исследователями безопасности. Программное обеспечение BOINC предназначено для добровольных вычислений и вознаграждает пользователей определенным типом криптовалюты под названием Gridcoin за выполнение законных задач. Однако в этом случае вредоносное ПО используется не по назначению для подключения к серверу-двойнику, сбора данных о хостинге, передачи файлов и выполнения задач, которые могут быть использованы в качестве начальных путей доступа для других участников и потенциально использованы для выполнения программ-вымогателей.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://www.huntress.com/blog/fake-browser-updates-lead-to-boinc-volunteer-computing-software
Выборочные показатели Compromise:
- 4716011ca9325480069bffeb2bbe0629fec6e5f69746f2e47f0a6894f2858c0b
- rzegzwre.top
- rosetta.top
- klmnnilmahlkcje.top
- 380bd5f097b8501618cf8b312d68e97b3220c31172f82973fce3084157caa15e
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
ПОВЫСЬТЕ КОМПЕТЕНЦИИ КОМАНДЫ
Бесплатное обучение по SC SIEM
Даем знания и навыки для эффективной работы.
Начать обучение