Kiber jinoyatchilar soxta rezyumelar orqali quasar RAT tarqatishni boshladilar
28.08.2019
Rukn: Yangiliklar.
Muallif: .

Yangi kampaniyaning xususiyatlaridan biri zararlanish vektorlarini tahlil qilishni murakkablashtiradigan bir nechta usullardan foydalanishi hisoblanadi.

Cofense mutaxassislari yangi phishing operatsiyasini aniqladilar, unda hujumchilar Windows bazasidagi kompyuterlarni Quasar Remote Administration Tool (RAT) yordamida soxta rezyumelardan foydalangan holda zararlantirishadi.

Soxta rezyumelar va boshqa turdagi hujjatlar zararli dasturlarni etkazib berish uchun keng tarqalgan usul bo’lsa-da, yangi kampaniyaning xususiyatlaridan biri zaralanish vektorlarini tahlil qilishni murakkablashtiradigan bir necha usullardan foydalanish hisoblanadi..

Quasar — C #-da ishlab chiqilgan taniqli ochiq manba vositasi bo’lib, u turli xil xakerlar guruhlarining operatsiyalarida bir necha bor kuzatilgan, masalan, APT33, APT10, Dropling Elephant, Stone Panda yoki The Gorgon Group. Dasturning funktsional imkoniyatlari ish stoliga masofadan ulanish, tugmachalardan foydalanish va qurbonlarning parollarini o’g’irlash, fayllarni yuklab olish va filtrlash, zararlangan qurilmadagi jarayonlarni boshqarish, shuningdek, ekran tasvirlarini va veb-kameralardan yozib olishni o’z ichiga oladi.

Yangi fishing kampaniyasining bir qismi sifatida, tajovuzkorlar rezyume niqobi ostida parol bilan himoyalangan Microsoft Word hujjatlarini tarqatmoqdalar. Fishing xabarida ko’rsatilgan «123» parolini kiritgandan so’ng, makrosni faollashtirishni talab qiladi. Ammo, shunga o’xshash boshqa hujumlardan farqli o’laroq, makros kompyuterda o’rnatilgan analitik vositalarni o’chirib qo’yish uchun mo’ljallangan «base64 «da kodlangan» arzimas «kodni o’z ichiga oladi.

«Makros muvaffaqiyatli ishlayotganda, ekranda bir qator rasmlar paydo bo’ladi, go’yo tarkibni yuklayotgandek, lekin ayni paytda hujjat tarkibiga» arzimas «qatorini qo’shadi. Keyin xato haqida xabar paydo bo’ladi, ammo shu bilan birga zararli fayllar yuklab olinadi va orqa fonda kompyuterga ishga tushiriladi ”, — deya tushuntirdilar mutaxassislar.

Quasar dasturni kiber-jinoyatchilar tomonidan boshqariladigan serverdan yuklab olingan 401 MB o’z-o’zidan ishlab chiqariladigan bajariladigan fayl orqali yuqtiradi. Arxivning katta hajmi zararli dasturlarni tahlil qilish vazifasini murakkablashtiradi, deydi tadqiqotchilar.

Manba

Orphus system
O'zbеkistonda AKT yangiliklaridan birinchilar qatorida xabardor bo'lish uchun Telegramda infoCOM.UZ kanaliga obuna bo'ling.
Telegramga qo`shmoq
WhatsAppga qo`shmoq
Odnoklassnikiga yubormoq
VKontakteda bo`lishmoq