TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьПредставляем Gh0stGambit: Дроппер для развертывания Gh0st RAT
eSentire, ведущий поставщик услуг по управляемому обнаружению и реагированию (MDR), представил первое в отрасли решение MDR, обеспечивающее полную визуализацию генеративного искусственного интеллекта. В круглосуточных подразделениях SoCs компании работают элитные специалисты по поиску угроз и кибераналитики, которые выслеживают, исследуют, локализуют угрозы и реагируют на них в течение нескольких минут. eSentire обнаружила некоторые из самых опасных угроз и атак со стороны национальных государств в своей области, включая взлом Kaseya MSP и вредоносное ПО more_eggs. Подразделение eSentire по реагированию на угрозы (TRU) представляет сводку последних расследований угроз, в которой излагаются их действия и рекомендации. Недавно подразделение eSentire TRU выявило несколько случаев заражения Gh0st RAT, вызванных вредоносными установочными пакетами, маскирующимися под браузер Chrome. Вариант Gh0st RAT был запущен с помощью Gh0stGambit, скрытого дроппера, используемого для извлечения и выполнения зашифрованных полезных данных. Программа Gh0stGambit dropper создает cmd-файл с пакетным скриптом и использует CoCreateGuid API для создания уникального GUID для скрипта. Пакетный скрипт проверяет, запущен ли PID дроппера, и если нет, он запускает шелл-код в памяти запущенного процесса, который расшифровывает зашифрованную полезную нагрузку с помощью многоступенчатого процесса. Капельница Gh0stGambit помещается в раздел "C:\ProgramData\{уникальный\_GUID\_1}\{уникальный\_GUID\_2\}". Кампания в первую очередь ориентирована на китайскоязычных пользователей, поскольку вредоносное ПО использует веб-приманки на китайском языке и китайские приложения, предназначенные для кражи данных и обхода защиты.Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://www.esentire.com/blog/a-dropper-for-deploying-gh0st-rat
Примеры признаков компрометации:
- fc6993a5498a7af0eab9899d86e393e5
- хакер.heikeniubi.buzz
- dcadba35680a03e44d91191d0d9a4d47
- 1577ad0ef0cc41b6e830c2c60821daa0
- http://pplilv.bond/d4/107.148.73.225/code32
Новость дополняется...
Источник: TTL OSINT 
Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
ПОВЫСЬТЕ КОМПЕТЕНЦИИ КОМАНДЫ
Бесплатное обучение по SC SIEM
Даем знания и навыки для эффективной работы.
Начать обучение