TTL OSINT

Возрожденная Медуза: Обнаружен новый компактный вариант / Leafy Labs

В статье рассматривается эволюция банковского трояна Medusa, который превратился в серьезную угрозу с момента его первоначального обнаружения в 2020 году. Изначально нацеленный на турецкие финансовые учреждения, Medusa к 2022 году быстро расширился, запустив крупные кампании в Северной Америке и Европе. Этот троянец, который является троянцем удаленного доступа (RAT), предоставляет злоумышленникам полный контроль над скомпрометированными устройствами, используя VNC для совместного использования экрана в режиме реального времени и специальных служб для взаимодействия. Это позволяет им совершать мошенничество на устройстве (OF), один из самых опасных видов банковского мошенничества.В ходе недавних кампаний Medusa изменила TTP (тактику, методы и процедуры) и целевые показатели по странам. Серверная инфраструктура вредоносного ПО разработана для одновременной поддержки нескольких ботнетов, каждый из которых отличается определенными тегами и операционными целями. Углубленный анализ выявил два различных кластера ботнетов Medusa, каждый из которых обладает различными функциональными характеристиками.Примечательным аспектом последних кампаний Medusa является стратегическое использование образцов, в которых используется упрощенный набор разрешений, требующий только необходимой функциональности для основных операций. Это снижает видимость вредоносного ПО при первоначальном анализе, потенциально позволяя обходить автоматические проверки безопасности и проверки вручную. Реорганизация разрешений на уровне манифеста имеет решающее значение для понимания TTP, используемых злоумышленниками.Новый вариант Medusa претерпел значительные изменения: было удалено 17 команд и введено пять новых. Это стратегическое сокращение количества команд соответствует ранее наблюдавшейся тенденции к минимизации разрешений в файле манифеста, направленной на снижение обнаруживаемости и повышение общей скрытности и надежности вредоносного ПО. Удаление некоторых функций и введение новых команд отражают целенаправленные усилия злоумышленников по оптимизации работы Medusa и обеспечению ее эффективности, при этом избегая обнаружения.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered

Выборочные показатели Compromise:

• 920bdb47c0c060ecc5a06461c9715e26
• 0e7c37e28871f439539b3d87242def55
• topisbim.вверху
• b9ee66c96b110622f4608581e77b0e4d
• 9437ea7aa931bfed9e6cdd76fe27d811

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал