TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьВрата Тьмы: Танцуем Самбу с привлекательными файлами Excel
Вредоносная программа DarkGate, впервые зарегистрированная в 2018 году, превратилась в предложение "вредоносное ПО как услуга" (MaaS), и после сбоя в работе инфраструктуры Qakbot в августе 2023 года ее активность резко возросла. В ходе недавней кампании, которая началась в марте-апреле 2024 года, файлы Microsoft Excel использовались для загрузки вредоносного программного обеспечения с общедоступных файловых ресурсов SMB. Кампания была нацелена в первую очередь на Северную Америку, но постепенно распространилась на Европу и некоторые районы Азии. Файлы Excel, которые казались официальными и важными, содержали объекты с гиперссылками, которые извлекали и запускали содержимое из общих ресурсов Samba/SMB, на которых размещались файлы VBS. Эти файлы VBS, в свою очередь, загружали и запускали сценарии PowerShell, которые загружали три файла и использовали их для запуска пакета DarkGate на основе AutoHotkey. Вредоносная программа использует различные методы антианализа, такие как проверка центрального процессора целевой системы и обнаружение нескольких антивирусных программ. Финальный двоичный файл DarkGate известен своими сложными механизмами, позволяющими избежать обнаружения и анализа вредоносных программ.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT для обеспечения более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://unit42.paloaltonetworks.com/darkgate-malware-uses-excel-files/
Выборочные показатели Compromise:
- f9d8b85fac10f088ebbccb7fe49274a263ca120486bceab6e6009ea072cb99c0
- b28473a7e5281f63fd25b3cb75f4e3346112af6ae5de44e978d6cf2aac1538c1
- http://adfhjadfbjadbfjkhad44jka.com/aa
- 897b0d0e64cf87ac7086241c86f757f3c94d6826f949a1f0fec9c40892c0cecb
- 378b000edf3bfe114e1b7ba8045371080a256825f25faaea364cf57fa6d898d7
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
НКЦКИ (ГосСОПКА):
Соблюдайте требования государства — защищайте бизнес
Подключение к НКЦКИ — это гарантия соответствия 187-ФЗ.
Подключиться