PowerGhost — новый бесфайловый майнер, способный совершать DDoS-атаки

PowerGhost — новый бесфайловый майнер, способный совершать DDoS-атаки

Исследователи «Лаборатории Касперского» обнаружили нового криптомайнера PowerGhost, который распространялся в корпоративных сетях по всему миру, заражая рабочие станции и серверы. В большей степени пострадали от его атак такие страны, как Бразилия, Колумбия, Индия и Турция. В России были зафиксированы атаки на десятки пользователей.

PowerGhost — это безфайловый зловред, то есть он существует в оперативной памяти устройства и не нуждается в исполняемых файлах для запуска, что значительно осложняет его обнаружение. Заражение компьютера этим вредоносом происходит с помощью эксплойтов или средств удалённого администрирования. Далее основная часть криптомайнера загружается и запускается без сохранения на жёстком диске. Сразу после этого киберпреступники могут предоставить PowerGhost возможности для автоматического обновления, распространения в сети и начала криптомайнинга.

В одной из версий PowerGhost был также обнаружен инструмент для проведения DDoS-атак. Вероятно, злоумышленники планировали получать дополнительный заработок со своего майнинг-ботнета, предоставляя услугу DDoS.

Примечательно, что случаи заражения новым зловредом подтвердили недавний прогноз экспертов «Лаборатории Касперского»: разработчики вредоносных криптомайнеров действительно переходят на целевые атаки с целью повышения финансовой прибыли.

PowerGhost представляет собой обфусцированный powershell-скрипт, содержащий основной код и дополнительные модули: непосредственно майнер, mimikatz, библиотеки msvcp120.dll и msvcr120.dll, необходимые для работы майнера, модуль для reflective PE injection и shellcode для эксплойта EternalBlue.

Зловред использует множество бесфайловых техник, чтобы оставаться незаметным для пользователя и избегать обнаружения антивирусными технологиями. Заражение машины происходит удаленно с использованием эксплойтов или инструментов удаленного администрирования (Windows Management Instrumentation). При заражении запускается однострочный powershell-скрипт, который выкачивает основное тело зловреда и сразу запускает его, не записывая на жесткий диск.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft рассказала о российской APT-группе, атакующей страны НАТО

Специалисты Microsoft Threat Intelligence Center (MSTIC) заявили, что им удалось остановить кибероперацию хорошо подготовленной группировки, атаковавшей страны НАТО. По словам экспертов, группа, проходящая под именем SEABORGIUM, имеет российские корни.

APT-группу SEABORGIUM также называют ColdRiver (классификация Google) и TA446 (Proofpoint). Исследователи считают, что участники группировки связаны с властями России и действуют в интересах нашей страны.

«SEABORGIUM чаще всего затачивает свои кампании под атаки на оборонку и консалтинговые организации. Также в зону поражения входят неправительственные организации, аналитические центры и сфера образования», — описывает Microsoft в отчёте.

Участники SEABORGIUM активно используют методы социальной инженерии, создавая фейковые онлайн-личности. С целевыми пользователями или организациями связываются через электронную почту, соцсети и LinkedIn.

Киберпреступники выстраивают определённый диалог с предполагаемой жертвой, чтобы сформировать её профиль. После этого у них появляется возможность отправить фишинговое вложение с расчётом на то, что они уже вошли в доверие.

Как выяснили в Microsoft, злоумышленники используются документы в формате PDF, ссылки на файловые хранилища и аккаунты OneDrive. Пример письма на скриншоте ниже:

 

При открытии такой документ отображает жертве сообщение о невозможности отображения информации и предлагает нажать на кнопку «Попробовать снова».

 

Кнопка ведёт на одну из фишинговых страниц, где размещается фреймворк вроде EvilGinx. Пользователь видит форму для ввода логина и пароля. Злоумышленники при этом могут не только перехватить вводимые учётные данные, но и украсть cookies или токены аутентификации.

В Microsoft отметили, что специалистам удалось остановить операции SEABORGIUM — отключить аккаунты, которые те использовали для слежки и фишинга. Помимо этого, корпорация также поделилась списком из 69 доменов, связанных с деятельностью киберпреступной группировки.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru