TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьЦентр внимания к угрозам: WarmCookie/BadSpace
Вредоносная программа WarmCookie, также известная как BadSpace, представляет собой универсальную и стойкую угрозу, которая распространяется с апреля 2024 года посредством вредоносной рассылки спама и вредоносной рекламы. В этих кампаниях часто используются темы, связанные с выставлением счетов или трудоустройством в агентствах, для привлечения жертв, а электронные письма содержат вложения в формате PDF, содержащие вредоносные файлы JavaScript. Файлы JavaScript загружаются и выполняются командой PowerShell, которая использует Bitsadmin для извлечения и запуска библиотеки DLL WarmCookie. Полезная нагрузка WarmCookie предоставляет злоумышленникам различные функциональные возможности, включая развертывание полезной нагрузки, манипулирование файлами, выполнение команд, сбор скриншотов и сохранение.В предыдущем анализе CSharp-Streamer-RAT и Cobalt Strike наблюдались в качестве дополнительных компонентов после первоначального заражения WarmCookie. Вредоносная программа WarmCookie обычно поставляется и запускается в виде PE-библиотеки DLL или PE-EXE-файла с определенными параметрами командной строки, определяющими, должна ли быть достигнута сохраняемость. Недавно в последнюю версию WarmCookie были внесены значительные дополнения и изменения, в том числе изменения в способ запуска вредоносного ПО и способ обеспечения его стойкости в зараженных системах. Вредоносная программа также включает в себя новый механизм самообновления, который позволяет злоумышленникам динамически доставлять обновления через сервер C2.TA866 был идентифицирован как источник угроз, связанный с WarmCookie, с совпадениями в кампаниях распространения, инфраструктуре и действиях по вторжению после взлома. В предыдущих кампаниях TA866 использовались приманки, связанные с агентствами по поиску талантов/работы, и CSharp-Streamer-RAT был замечен в качестве дополнительной полезной нагрузки. Также было обнаружено, что SSL-сертификаты, используемые в кампаниях WarmCookie и CSharp-Streamer-RAT, имеют схожие характеристики, а поля в сертификате заполняются случайным образом.Ссылка:https://blog.talosintelligence.com/warmcookie-analysis/
Выборочные показатели Compromise:
- https://blog.talosintelligence.com/warmcookie-analysis/
- blog.talosintelligence.com
- 9062d0f5f788bec4b487faf5f9b4bb450557e178ba114324ef7056a22b3fbe8b
- c0c0b2306d31e8962973a22e50b18dfde852c6ddf99baf849e3384ed9f07a0d6
- 2f629395fdfa11e713ea8bf11d40f6f240acf2f5fcf9a2ac50b6f7fbc7521c83
Новость дополняется...
Источник: TTL OSINT 
Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
КОНТРОЛИРУЙ РИСКИ:
Пентест для защиты бизнеса
Реалистичная проверка устойчивости ваших систем.
Протестировать
