Serangan multi-tahap baru telah diamati memberikan keluarga malware seperti agen varian Tesla, REMCOS Rat, dan Xloader.
“Penyerang semakin mengandalkan mekanisme pengiriman yang kompleks untuk menghindari deteksi, memotong kotak pasir tradisional, dan memastikan pengiriman dan pelaksanaan muatan yang berhasil,” kata peneliti Palo Alto Networks Unit 42 Saqib Khanzada dalam penulisan teknis kampanye.
Titik awal serangan itu adalah email yang menipu yang disebut sebagai permintaan pesanan untuk mengirimkan lampiran arsip 7-zip yang berbahaya, yang berisi file JavaScript yang dikodekan (.JSE).
Email phishing, yang diamati pada bulan Desember 2024, secara salah mengklaim bahwa pembayaran telah dilakukan dan mendesak penerima untuk meninjau file pesanan terlampir. Meluncurkan Payload JavaScript memicu urutan infeksi, dengan file yang bertindak sebagai pengunduh untuk skrip PowerShell dari server eksternal.
Script, pada gilirannya, memiliki muatan yang dikodekan basis64 yang kemudian diuraikan, ditulis ke direktori sementara Windows, dan dieksekusi. Di sinilah sesuatu yang menarik terjadi: Serangan mengarah ke penetes tahap berikutnya yang dikompilasi menggunakan .net atau autoit.
Dalam kasus .NET yang dapat dieksekusi, muatan tertanam terenkripsi – varian agen Tesla yang diduga sebagai ular keylogger atau xloader – diterjemahkan dan disuntikkan ke dalam proses “regasm.exe” yang sedang berjalan, sebuah teknik yang diamati dalam kampanye agen Tesla masa lalu.
Autoit yang dikompilasi dapat dieksekusi, di sisi lain, memperkenalkan lapisan tambahan dalam upaya untuk lebih memperumit upaya analisis. Skrip Autoit dalam Executable menggabungkan muatan terenkripsi yang bertanggung jawab untuk memuat shellcode akhir, menyebabkan file .net disuntikkan ke dalam proses “Regsvcs.exe”, yang pada akhirnya mengarah ke penyebaran agen Tesla.
“Ini menunjukkan bahwa penyerang menggunakan beberapa jalur eksekusi untuk meningkatkan ketahanan dan menghindari deteksi,” kata Khanzada. “Fokus penyerang tetap pada rantai serangan berlapis-lapis daripada kebingungan canggih.”
“Dengan menumpuk tahap sederhana alih -alih berfokus pada teknik yang sangat canggih, penyerang dapat membuat rantai serangan tangguh yang memperumit analisis dan deteksi.”
Ironhusky memberikan versi baru tikus mystysnail
Pengungkapan itu datang ketika Kaspersky merinci kampanye yang menargetkan organisasi pemerintah yang berlokasi di Mongolia dan Rusia dengan versi baru malware yang disebut Mysysnail Rat. Kegiatan ini telah dikaitkan dengan aktor ancaman berbahasa Cina yang dijuluki Ironhusky.
Ironhusky, dinilai aktif sejak setidaknya 2017, sebelumnya didokumentasikan oleh Cybersecurity Company Rusia pada Oktober 2021 sehubungan dengan eksploitasi nol-hari CVE-2021-40449, cacat eskalasi hak istimewa Win32k, untuk mengirimkan mystysnail.
Infeksi berasal dari skrip Microsoft Management Console (MMC) yang berbahaya yang meniru dokumen Word dari National Land Agency of Mongolia (“CO-FINANCING Letter_alamGAC”). Skrip ini dirancang untuk mengambil arsip zip dengan dokumen umpan, biner yang sah (“ciscocollabhost.exe”), dan dll jahat (“ciscosparklauncher.dll”).
Tidak diketahui persis bagaimana skrip MMC didistribusikan ke target yang diminati, meskipun sifat dokumen iming -iming menunjukkan bahwa itu mungkin melalui kampanye phishing.
Seperti yang diamati dalam banyak serangan, “ciscocollabhost.exe” digunakan untuk mengidap DLL, sebuah pintu belakang perantara yang mampu berkomunikasi dengan infrastruktur yang dikendalikan oleh penyerang dengan memanfaatkan proyek server perpipaan open-source.
Backdoor mendukung kemampuan untuk menjalankan shell perintah, mengunduh/mengunggah file, menyebutkan konten direktori, menghapus file, membuat proses baru, dan mengakhiri dirinya sendiri. Perintah -perintah ini kemudian digunakan untuk sideload Mysterysnail Rat.
Versi terbaru dari malware mampu menerima hampir 40 perintah, memungkinkannya untuk melakukan operasi manajemen file, menjalankan perintah melalui CMD.exe, Proses Spawn and Kill, mengelola layanan, dan terhubung ke sumber daya jaringan melalui modul DLL khusus.
Kasperksy mengatakan mereka mengamati para penyerang menjatuhkan “versi yang lebih ringan dan lebih ringan” dari Mysterysnail dengan nama kode misterius Mystymonosnail setelah tindakan pencegahan diambil oleh perusahaan yang terkena dampak untuk memblokir intrusi.
“Versi ini tidak memiliki banyak kemampuan seperti versi Mysterysnail Rat,” kata perusahaan itu. “Itu diprogram hanya memiliki 13 perintah dasar, digunakan untuk mendaftar konten direktori, menulis data ke file, dan meluncurkan proses dan shell jarak jauh.”
