TTL OSINT

PureHVNC, развернутый с помощью многоступенчатого загрузчика на Python

В этой статье рассматривается фишинговая кампания, которая распространяет и запускает различные типы вредоносных программ, в том числе PureHVNC, с помощью многоступенчатых загрузчиков на Python. Кампания начинается с электронного письма, которое, как представляется, от клиента, и призывает получателя открыть вложение. Вложение представляет собой HTML-файл, который использует функцию "search-ms" для запроса файла "e_Statement" LNK в удаленных файловых ресурсах. Как только пользователь открывает HTML-файл и нажимает "Открыть", вредоносный LNK-файл отображается в проводнике Windows и побуждает пользователя запустить его с помощью значка PDF. Файл LNK содержит команду для запуска удаленного пакетного файла с использованием conhost.exe в качестве родительского процесса. Злоумышленник пытается использовать встроенный двоичный файл Windows 'conhost.exe' для косвенного выполнения, чтобы избежать обнаружения. Пакетный файл обфускается с помощью приемов кодирования и обфускации строк, и он загружает два ZIP-файла через PowerShell, извлекает все содержимое в скрытую папку, а затем последовательно запускает вредоносную программу на Python. Программа на Python использует модуль Base64 для декодирования данных шеллкода, а затем расшифровывает их с помощью алгоритма RC4 с определенным ключом. Наконец, код выполняет шеллкод с использованием импортированного модуля "типы". Загрузчик шелл-кода, "ленивый", находится в открытом доступе на GitHub и включает в себя различные методы выполнения, обычно используемые вредоносными программами. Программа использует цель и методы выполнения, выбранные злоумышленником, для внедрения шеллкода в notepad.exe и выполняет шеллкод через очередь APC Early Bird. На третьем этапе используется шеллкод внутри notepad.exe, который расшифровывает и выполняет конечную полезную нагрузку. PureHVNC - одно из вредоносных программ, выявленных в ходе этой кампании по атаке, и представляет собой .NET-приложение, содержащее значительный объем встроенных данных. Его основная функция заключается в расшифровке полезной нагрузки с использованием алгоритма AES и последующей распаковке с помощью метода Gzip. Как только полезная нагрузка библиотеки DLL извлекается и загружается в память, она использует свои жестко запрограммированные имена классов и методов для выполнения точки входа полезной нагрузки. Программа сначала извлекает жестко запрограммированную конфигурацию, выполняя декодирование в формате base64 с последующей распаковкой в формате gzip, и пытается связаться с сервером C2, указанным в извлеченной конфигурации, чтобы собрать информацию о жертве и передать ее на сервер C2.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.fortinet.com/blog/threat-research/purehvnc-deployed-via-python-multi-stage-loader

Выборочные показатели Compromise:

• 8bbdd3b41a03b86f246564a23e9acd48f74428f372c4bfb0a9a3af42511661c7
• 441c4502584240624f4af6d67eded476c781ff0b72afe95ea236cc87a50e5650
• 503ce7bcefdffb96b5de78254f947598a410b86d3aaf597c7334e248c46dae5b
• 6b4f058ba41e829ff993e61b288e55552af3d98f9cd62483eeff088b26f6ab9b
• https://float-suppose-msg-pulling.trycloudflare.com /

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал