❗️ Россию накрывает новая волна фишинговой кампании!

🇷🇺 Многоэтапная фишинговая кампания нацелена на Россию с использованием RAT-программы Amnesia и Ransomware.

✉️ «Атака начинается с методов социальной инженерии, используемых в качестве приманки с помощью документов деловой тематики, которые выглядят обычными и безобидными», — заявила исследовательница Кара Лин. «Эти документы и сопровождающие их скрипты служат визуальными отвлекающими маневрами, перенаправляя жертв на фальшивые задачи или сообщения о состоянии, в то время как вредоносная деятельность незаметно происходит в фоновом режиме».

🔔 В рамках этой кампании используются методы социальной инженерии для распространения сжатых архивов, содержащих множество поддельных документов и вредоносный ярлык Windows (LNK) с русскоязычными именами файлов. Файл LNK использует двойное расширение. Один из примеров: "Задание_для_бухгалтера_02отдела.txt.lnk".

🔔 При выполнении скрипт запускает команду PowerShell для получения следующего этапа — сценария PowerShell, размещенного в репозитории GitHub ("github[.]com/Mafin111/MafinREP111"), который затем служит загрузчиком первого этапа для закрепления системы, подготовки системы к сокрытию следов вредоносной активности и передачи управления последующим этапам.

🔔 После того как документ отображается жертве для поддержания обмана, скрипт отправляет сообщение злоумышленнику через API Telegram-бота , информируя оператора об успешном выполнении первого этапа. После преднамеренно введенной задержки в 444 секунды скрипт PowerShell запускает скрипт Visual Basic ("SCRRC4ryuk.vbe"), размещенный в том же репозитории.

🪧 Скрипт Visual Basic сильно обфусцирован и выступает в роли контроллера, который собирает полезную нагрузку следующего этапа непосредственно в памяти, тем самым избегая оставления каких-либо следов на диске. Скрипт на заключительном этапе проверяет, выполняется ли он с повышенными привилегиями, и, если нет, многократно отображает запрос контроля учетных записей пользователей ( UAC ), чтобы заставить жертву предоставить ему необходимые разрешения. Скрипт делает паузу в 3000 миллисекунд между попытками.

🧾 Одна из последних полезных нагрузок, развертываемых после успешного отключения средств защиты и механизмов восстановления, — это Amnesia RAT ("svchost.scr"), которая загружается из Dropbox и способна к масштабной краже данных и удаленному управлению. Она предназначена для кражи информации, хранящейся в веб-браузерах, криптовалютных кошельках, Discord, Steam и Telegram, а также системных метаданных, скриншотов, изображений с веб-камеры, звука с микрофона, содержимого буфера обмена и заголовка активного окна.

☁️ Для противодействия злоупотреблениям со стороны defendnot в отношении API Центра безопасности Windows, Microsoft рекомендует пользователям включить защиту от несанкционированного доступа, чтобы предотвратить несанкционированные изменения настроек Defender, а также отслеживать подозрительные вызовы API или изменения в работе служб Defender.

❗️ Будьте внимательны и предупредите своих коллег! ❗️

#russia #phishing #rat #microsoft

Источник: https://www.fortinet.com/blog/threat-research/inside-a-multi-stage-windows-malware-campaign

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

🎇 В Packagist обнаружены вредоносные Laravel-пакеты, распространяющие RAT для Windows, macOS и Linux

Исследователи обнаружили вредоносные PHP-пакеты в репозитории Packagist, которые маскируются под вспомогательные библиотеки для Laravel. На самом деле они устанавливают кроссплатформенный троян удалённого доступа (RAT), способный работать на Windows, macOS и Linux.

Атака относится к классу supply chain attacks — злоумышленники распространяют вредоносный код через зависимости, которые разработчики устанавливают в свои проекты.

❗️ Вредоносные пакеты
Специалисты обнаружили следующие подозрительные пакеты:
▶️nhattuanbl/lara-helper
▶️nhattuanbl/simple-queue
▶️nhattuanbl/lara-swagger

Количество загрузок у них было небольшим, однако они всё равно представляют серьёзную угрозу для разработчиков и серверов, где используются.

Особенность атаки в том, что пакет lara-swagger не содержит вредоносный код напрямую — вместо этого он добавляет зависимость lara-helper, которая уже устанавливает RAT. Такой подход усложняет обнаружение угрозы.


❓Как работает вредоносный код
🔔 В пакетах lara-helper и simple-queue исследователи нашли PHP-файл:

src/helper.php

🔔 Вредоносный код использует несколько техник, чтобы затруднить анализ:
⏺️обфускацию потока управления
⏺️кодирование доменных имён
⏺️скрытие команд и путей
⏺️рандомизацию имён функций и переменных

Это значительно усложняет статический анализ и поиск вредоносной логики.

🕸 Подключение к серверу управления (C2)

После загрузки вредоносный код устанавливает соединение с сервером управления:
helper.leuleu[.]net:2096

Далее заражённая система отправляет информацию о системе и начинает ждать команды оператора. Это фактически даёт злоумышленнику полный удалённый доступ к машине.

Связь происходит по TCP через PHP-функцию:
stream_socket_client()

Благодаря этому вредоносный код остаётся работоспособным даже в средах с жёсткой конфигурацией безопасности PHP.

#rat #attack #laravel #windows #linux

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Специалисты из центра киберзащиты Ontinue обнаружили, что злоумышленники использовали Nezha — легитимный инструмент для мониторинга с открытым исходным кодом, в качестве инструмента для удаленного доступа (RAT). Агент обеспечивает доступ к узлам на уровне SYSTEM/root и позволяет управлять системой через интерактивный веб-терминал.

☁️ Специалисты выяснили, что домен, на котором размещена панель управления всеми зараженными устройствами, находится на серверах Alibaba Cloud. Домен был привязан к адресу 47.79.42[.]91. По данным ресурса IPInfo, этот адрес привязан к Японии.

🎇 Nezha
nezha - инструмент для мониторинга серверов с открытым исходным кодом, изначально разработанный для китайского IT-сообщества. Системные администраторы используют его для мониторинга нескольких серверов, отслеживания использования ресурсов, получения оповещений и удалённого администрирования.

Nezha работает по простой модели «клиент-сервер». Центральный сервер панели управления отвечает за аутентификацию, хранит конфигурацию и координирует работу всех подключенных агентов.

Агенты — это легковесные двоичные файлы, развернутые на контролируемых хостах и поддерживающие постоянные gRPC-соединения с панелью управления.

Панель управления мультиплексирует HTTP-трафик и трафик gRPC на одном и том же порту. Веб-браузеры подключаются к интерфейсу панели управления по протоколу HTTP/WebSocket, а агенты — по протоколу gRPC для управления и контроля.

❗️Такая конструкция позволяет использовать один открытый порт как для интерфейса управления, так и для канала связи с агентами.

🪧 Возможности агента
Агент поддерживает определенный набор типов задач, каждый из которых обозначается числовой константой. Для злоумышленником представляют интерес следующие команды:
➡️Выполнение произвольной команды - ID: 4;
➡️Интерактивная терминальная сессия - ID: 8;
➡️Операции с файлами (просмотр, загрузка, скачивание, удаление) - ID: 11.

❓ Почему агент работает от имени пользователя root/SYSTEM
Агент разработан для работы от имени пользователя root (Linux) / SYSTEM (Windows), поскольку ему требуется расширенный доступ для:
▶️Чтения файловой системы /proc и системных показателей;
▶️просмотра сетевой статистики;
▶️управления процессами;
▶️применения системных конфигураций.

При запросе сеанса терминала агент запускает PTY (псевдотерминал), который наследует контекст процесса агента. Это означает, что если агент запущен от имени пользователя root, то и оболочка будет работать от имени root.

#news #nezha #RAT #hackers

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером