TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьТехнический анализ DarkVision RAT
Компания Zscaler, лидер в Gartner Magic Quadrant в области обеспечения безопасности Edge (SSE), предлагает решение, обеспечивающее беспрепятственный, безопасный и надежный доступ к приложениям и данным. Компания проанализировала и разобрала цепочку атак, связанных с DarkVision RAT, настраиваемым трояном удаленного доступа (RAT), который впервые появился в 2020 году. RAT, который стоит всего 60 долларов, завоевал популярность благодаря своей доступности и обширному набору функций, включая ведение кейлогга, создание скриншотов, манипулирование файлами, внедрение процессов, удаленное выполнение кода и кражу паролей. В июле 2024 года Zscaler ThreatLabZ наблюдал за атакующими, использующими DarkVision RAT совместно с PureCrypter в цепочке атак. Анализ включает в себя углубленное изучение функциональности RAT, основных возможностей, сетевого протокола связи, команд и плагинов. В блоге также обсуждается PureCrypter, который ранее был проанализирован ThreatLabZ, и его роль в загрузке полезной нагрузки DarkVision RAT. PureCrypter помогает DarkVision RAT добиться постоянства, избегая обнаружения и записывая текущий файл в %APPDATA%\Sighul.exe , добавляя постоянство для этого файла в соответствии со структурой protobuf, используя раздел реестра для автоматического запуска HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run с именем, равным Sighul. Затем расшифрованный файл DarkVision RAT внедряется сам в себя, что приводит к четвертому этапу цепочки атак.
Ссылка:https://www.zscaler.com/blogs/security-research/technical-analysis-darkvision-rat
Индикаторы компрометации (Indicators of Compromise, IoCs):
- https://www.zscaler.com/blogs/security-research/technical-analysis-darkvision-rat
- www.zscaler.com
- indicatorstypeindicatordescriptionurlnasyiahgamping.com
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
