TTL OSINT

Злоумышленник использует Gophish для создания новых PowerRAT и DCRAT

В блоге Cisco Talos появилось сообщение о фишинговой кампании, нацеленной на русскоязычных пользователей и использующей Gophish для распространения вредоносных программ PowerRAT и DCRAT. Кампания включает в себя два начальных направления атаки: вредоносные документы Word и HTML-файлы с вредоносным JavaScript. После активации они приводят к загрузке и активации PowerRAT или DCRAT, в зависимости от исходного вектора. Заражение на основе Maldoc обеспечивает повышение эффективности путем выполнения макропрограммы, которая декодирует закодированные символы в содержимом lure документа Word в соответствующие им символы из другого алфавита кириллицы. Затем макропрограмма удаляет расшифрованное содержимое вредоносного HTA-файла в файл "UserCache.ini.hta", а загрузчик PowerShell - в файл "UserCache.ini" в текущей папке профиля пользователя компьютера-жертвы. Вредоносный HTA-файл запускается через раздел реестра LOAD, когда жертва заходит на компьютер, который удаляет JavaScript-файл с именем "UserCacheHelper.lnk.js" и записывает команду PowerShell для выполнения удаленного загрузчика PowerShell, маскирующегося под файл "UserCache.ini". Сценарий загрузки PowerShell содержит большой двоичный файл данных в кодировке base64 полезной нагрузки PowerRAT, который декодируется и выполняется в памяти компьютера жертвы. Программа PowerRAT генерирует случайное число и приостанавливает выполнение, пытаясь подключиться к серверу C2, используя жестко заданный URL-адрес с помощью метода HTTP GET. Серверы C2, указанные в этой кампании, расположены в России. PowerRAT также выполняет рекогносцировку на компьютере жертвы и имеет функцию-заполнитель, называемую offlineworker(), которая расшифровывает встроенную строку в кодировке base64 сценария PowerShell и выполняет ее с помощью команды Invoke-Expression, поддерживая заражение на компьютере жертвы, даже если среда жертвы обнаруживает вредоносный трафик C2 и запускает его. блокирует соединение.

Ссылка: https://blog.talosintelligence.com/gophish-powerrat-dcrat/

Примеры индикаторов компромисса:

• https://blog.talosintelligence.com/gophish-powerrat-dcrat/
• blog.talosintelligence.com
• 9062d0f5f788bec4b487faf5f9b4bb450557e178ba114324ef7056a22b3fbe8b
• c0c0b2306d31e8962973a22e50b18dfde852c6ddf99baf849e3384ed9f07a0d6
• 2f629395fdfa11e713ea8bf11d40f6f240acf2f5fcf9a2ac50b6f7fbc7521c83

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал