Новый бэкдор использует FTP-сервер в качестве командного центра

Новый бэкдор использует FTP-сервер в качестве командного центра

Новый бэкдор использует FTP-сервер в качестве командного центра

Специалисты Trend Micro столкнулись с ботнетом, использующим необычный вид соединения с командным центром (C&C) – FTP-сервер. Несмотря на то, что это наименее популярный способ, у него есть свои преимущества.

Основное преимущество заключается как раз в том, что благодаря тому, что командный FTP-сервер используется крайне редко, он может оставаться незамеченным для администраторов и исследователей.

Однако минус такого подхода кроется в открытом трафике, который можно легко проанализировать. Более того, благодаря ошибке в коде конкретно этого бэкдора, он не всегда выполняет правильные команды.

Схема заражения берет свое начало во вредоносном документе с макросами. В документах есть доказательства того, что атакуются Красный Крест и Всемирная организация здравоохранения. Также в этих документах упоминается Северная Корея. Trend Micro детектирует их как W2KM_SYSCON.A.

Каждый документ содержит две длинные строки с кодировкой Base64, этот же метод был использован для распространения семейства вредоносных программ Sanny в конце 2012 года.

«Сходства нового бэкдора с Sanny настолько очевидны, что мы полагаем, что за обеими этими вредоносными программами стоит одна и та же группа киберпреступников», - утверждают в Trend Micro.

Попав в систему, вредонос первым делом получает имя компьютера, которое затем используют в идентификаторе. Затем он подключается к FTP-серверу, используя данные, хранящиеся в конфигурационном файле.

Вышеупомянутая ошибка в коде бэкдора приводит к тому, что некоторые команды не выполняются из-за неверно обрабатываемых строк.

По мнению исследователей из Trend Micro, использование FTP-сервера злоумышленниками есть не что иное, как попытка обойти защитные меры. Следовательно, администраторы должны взять на заметку наличие такого способа.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Cobalt Strike снова в деле: атаки на российский бизнес через GitHub

Эксперты «Лаборатории Касперского» зафиксировали новую волну атак на российские компании с использованием инструмента Cobalt Strike Beacon — известного решения для удалённого доступа, которое часто используют в кибератаках. В этот раз злоумышленники пошли на хитрость: они размещают вредоносный код не где-нибудь, а прямо в профилях на GitHub, соцсетях и даже на Microsoft Learn Challenge и Quora.

Как проходит атака

Сценарий начинается, как обычно, с фишингового письма, которое выглядит как деловое сообщение от крупной компании — например, из нефтегазового сектора

Получатель якобы получает запрос на сотрудничество, а во вложении — архив с «техническим заданием» или «условиями конкурса». На деле внутри — подмена: среди документов прячутся исполняемые файлы, запускающие вредоносный код.

Чтобы запустить его, злоумышленники используют технику подмены DLL. Они также прибегают к использованию легитимной утилиты, которая в норме помогает разработчикам получать отчёты об ошибках в приложениях. Но в этом случае она запускает не отчёт, а нужный атакующим код.

Где прячется код

Чтобы обойти защиту и не «светиться», этот код подгружается уже во время работы — из внешних источников. В качестве хранилищ используются открытые профили на платформах вроде GitHub, Quora, Microsoft Learn и даже российских соцсетях. В этих профилях размещён зашифрованный контент, нужный для продолжения атаки.

Как подчёркивают в «Лаборатории Касперского», никакие реальные аккаунты, по их данным, не были взломаны — злоумышленники создавали отдельные учётки специально под такие атаки. Хотя технически ничто не мешает им спрятать ссылки и в комментариях к постам настоящих пользователей.

Что это значит для компаний

Атаки стали сложнее, но в основе по-прежнему старые подходы. Изменились лишь методы маскировки и доставки кода. По словам эксперта «Лаборатории Касперского» Максима Стародубова, бизнесу стоит серьёзно отнестись к вопросу цифровой гигиены: следить за актуальной информацией о киберугрозах, регулярно проверять инфраструктуру и держать под контролем всё, что происходит на цифровом периметре компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru