Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Мировые новости. Обсуждения. (https://forum.antichat.xyz/forumdisplay.php?f=23)
-   -   Группировка APT28 использует новую малварь SkinnyBoy для фишинга (https://forum.antichat.xyz/showthread.php?t=483954)

alexzir 04.06.2021 19:27
Исследователи безопасности обнаружили новое вредоносное ПО под названием SkinnyBoy, которое использовалось в целевых фишинговых кампаниях, приписываемых русскоязычной хакерской группе APT28.

Злоумышленник, также известный как Fancy Bear, Sednit, Sofacy, Strontium или PwnStorm, использовал SkinnyBoy в атаках на военные и правительственные учреждения в начале этого года.

Классическая тактика, новый инструмент

SkinnyBoy предназначен для промежуточного этапа атаки, для сбора информации о жертве и загрузки полезной нагрузки с сервера управления и контроля (C2).

По данным Cluster25 исследованию угроз , APT28, вероятно, начал эту кампанию в начале марта, сосредоточив внимание на министерствах иностранных дел, посольствах, оборонной промышленности и военном секторе.

Многочисленные жертвы находятся в Европейском Союзе, но исследователи сообщили BleepingComputer, что эта деятельность могла затронуть и организации в Соединенных Штатах.

SkinnyBoy доставляется через документ Microsoft Word с добавлением макроса, который извлекает файл DLL, выступающий в качестве загрузчика вредоносного ПО.

Приманка - это фишинговое письмо с поддельным приглашением на международное научное мероприятие, которое состоится в Испании в конце июля.

Открытие приглашения запускает цепочку заражения, которая начинается с извлечения библиотеки DLL, которая извлекает дроппер SkinnyBoy (tpd1.exe), вредоносный файл, который загружает основную полезную нагрузку.

Попав в систему, дроппер прописывается в системе и переходит к извлечению следующей полезной нагрузки, которая кодируется в формате Base64 и добавляется к исполняемым файлам.

https://www.bleepstatic.com/images/n...kinnyBoy01.jpg

Эта полезная нагрузка удаляется после извлечения двух файлов в скомпрометированной системе:
  • C: \ Users \% username% \ AppData \ Local \ devtmrn.exe (2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b 6ba7ed270ea6bce)
  • C: \ Users \% username% \ AppData \ Local \ Microsoft \ TerminalServerClient \ TermSrvClt.dll (ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f 5ae7ad4ad583698)
Чтобы оставаться незаметным, вредоносная программа запускает эти файлы на более позднем этапе, после создания механизма сохранения с помощью файла LNK в папке автозагрузки Windows, говорится в отчете Cluster25, предоставленном BleepingComputer.

Файл LNK запускается при следующей перезагрузке зараженной машины и ищет основную полезную нагрузку, SkinnyBoy (TermSrvClt.dll), проверяя хэши SHA256 всех файлов в C: \ Users \% username% \ AppData \ Local .

Цель SkinnyBoy - извлечь информацию о зараженной системе, загрузить и запустить последнюю полезную нагрузку атаки, которая на данный момент остается неизвестной.

Сбор данных осуществляется с помощью уже имеющихся в Windows инструментов systeminfo.exe и tasklist.Exe, которые позволяют извлекать имена файлов в определенных местах:
  • C: \ Users \% имя пользователя% \ Desktop
  • C: \ Program Files - C: \ Program Files (x86)
  • C: \ Users \% username% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Administrative Tools
  • C: \ Users \% имя пользователя% \ AppData \ Roaming
  • C: \ Users \% имя пользователя% \ AppData \ Roaming \ Microsoft \ Windows \ Templates
  • C: \ Windows - C: \ Users \ user \ AppData \ Local \ Temp
Вся извлеченная таким образом информация доставляется на сервер C2 организованным образом и кодируется в формате base64.

Cluster25 сообщает, что злоумышленник использовал коммерческие службы VPN для покупки элементов для своей инфраструктуры - тактика, которую злоумышленники обычно используют, чтобы лучше замаскировать активность.

https://www.bleepstatic.com/images/n...nnectivity.png

Изучив тактику, методы и процедуры, Cluster25 считает, что имплант SkinnyBoy - это новый инструмент российской группы угроз, известной как APT28. Компания имеет среднюю и высокую степень опасности.

В сегодняшнем отчете Cluster25 предоставляет правила YARA для всех инструментов, исследованных его исследователями (дроппер SkinnyBoy, программа запуска и сама полезная нагрузка), а также список наблюдаемых индикаторов компрометации, которые могут помочь организациям обнаружить присутствие нового вредоносного ПО.

Перевод - Google

Источник: https://safezone.cc/threads/novoe-v...lja-vzloma-konfidencialnyx-organizacij.38694/

Источник: https://www.bleepingcomputer.com/ne...-by-russian-hackers-to-breach-sensitive-orgs/

DartPhoenix 04.06.2021 19:43
Гугл этот мне...

Цитата:
Сообщение от None
Попав в систему, дроппер устанавливает постоянство и переходит к извлечению следующей полезной нагрузки
Цитата:
Сообщение от None
тактика, которую злоумышленники обычно используют, чтобы лучше сбиться с пути
Кстати

Цитата:
Сообщение от None
после создания механизма сохранения с помощью файла LNK в папке автозагрузки Windows
Хорошо хоть не просит запускать себя вручную

Suicide 04.06.2021 22:45
alexzir, ты берёшь в оригинале и переводишь? Оо

Svan 04.06.2021 23:17
Цитата:
Сообщение от alexzir
alexzir said:

Исследователи безопасности обнаружили новое вредоносное ПО под названием SkinnyBoy, которое использовалось в целевых фишинговых кампаниях, приписываемых русскоязычной хакерской группе APT28.
Злоумышленник, также известный как Fancy Bear, Sednit, Sofacy, Strontium или PwnStorm, использовал SkinnyBoy в атаках на военные и правительственные учреждения в начале этого года.
Классическая тактика, новый инструмент
SkinnyBoy предназначен для промежуточного этапа атаки, для сбора информации о жертве и загрузки полезной нагрузки с сервера управления и контроля (C2).
По данным
Cluster25
исследованию угроз , APT28, вероятно, начал эту кампанию в начале марта, сосредоточив внимание на министерствах иностранных дел, посольствах, оборонной промышленности и военном секторе.
Многочисленные жертвы находятся в Европейском Союзе, но исследователи сообщили BleepingComputer, что эта деятельность могла затронуть и организации в Соединенных Штатах.
SkinnyBoy доставляется через документ Microsoft Word с добавлением макроса, который извлекает файл DLL, выступающий в качестве загрузчика вредоносного ПО.
Приманка - это фишинговое письмо с поддельным приглашением на международное научное мероприятие, которое состоится в Испании в конце июля.
Открытие приглашения запускает цепочку заражения, которая начинается с извлечения библиотеки DLL, которая извлекает дроппер SkinnyBoy (tpd1.exe), вредоносный файл, который загружает основную полезную нагрузку.
Попав в систему, дроппер прописывается в системе и переходит к извлечению следующей полезной нагрузки, которая кодируется в формате Base64 и добавляется к исполняемым файлам.
https://www.bleepstatic.com/images/n...kinnyBoy01.jpg
Эта полезная нагрузка удаляется после извлечения двух файлов в скомпрометированной системе:
  • C: \ Users \% username% \ AppData \ Local \ devtmrn.exe (2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b 6ba7ed270ea6bce)
  • C: \ Users \% username% \ AppData \ Local \ Microsoft \ TerminalServerClient \ TermSrvClt.dll (ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f 5ae7ad4ad583698)
Чтобы оставаться незаметным, вредоносная программа запускает эти файлы на более позднем этапе, после создания механизма сохранения с помощью файла LNK в папке автозагрузки Windows, говорится в
отчете
Cluster25, предоставленном BleepingComputer.
Файл LNK запускается при следующей перезагрузке зараженной машины и ищет основную полезную нагрузку, SkinnyBoy (TermSrvClt.dll), проверяя хэши SHA256 всех файлов в
C: \ Users \% username% \ AppData \ Local
.
Цель SkinnyBoy - извлечь информацию о зараженной системе, загрузить и запустить последнюю полезную нагрузку атаки, которая на данный момент остается неизвестной.
Сбор данных осуществляется с помощью уже имеющихся в Windows инструментов systeminfo.exe и tasklist.Exe, которые позволяют извлекать имена файлов в определенных местах:
  • C: \ Users \% имя пользователя% \ Desktop
  • C: \ Program Files - C: \ Program Files (x86)
  • C: \ Users \% username% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Administrative Tools
  • C: \ Users \% имя пользователя% \ AppData \ Roaming
  • C: \ Users \% имя пользователя% \ AppData \ Roaming \ Microsoft \ Windows \ Templates
  • C: \ Windows - C: \ Users \ user \ AppData \ Local \ Temp
Вся извлеченная таким образом информация доставляется на сервер C2 организованным образом и кодируется в формате base64.
Cluster25 сообщает, что злоумышленник использовал коммерческие службы VPN для покупки элементов для своей инфраструктуры - тактика, которую злоумышленники обычно используют, чтобы лучше замаскировать активность.
https://www.bleepstatic.com/images/n...nnectivity.png
Изучив тактику, методы и процедуры, Cluster25 считает, что имплант SkinnyBoy - это новый инструмент российской группы угроз, известной как APT28. Компания имеет среднюю и высокую степень опасности.
В сегодняшнем
отчете
Cluster25 предоставляет правила YARA для всех инструментов, исследованных его исследователями (дроппер SkinnyBoy, программа запуска и сама полезная нагрузка), а также список наблюдаемых индикаторов компрометации, которые могут помочь организациям обнаружить присутствие нового вредоносного ПО.
Перевод - Google
Источник:
https://safezone.cc/threads/novoe-v...lja-vzloma-konfidencialnyx-organizacij.38694/
Источник:
https://www.bleepingcomputer.com/ne...-by-russian-hackers-to-breach-sensitive-orgs/
Военная авиация французов на линухе, боятся нечего.


Время: 08:07