LightBot — новый инструмент разведки от создателей TrickBot

Татьяна Никитина 23 Ноября 2020 - 17:01

...

LightBot — новый инструмент разведки от создателей TrickBot

Авторы TrickBot создали новый облегченный инструмент, предназначенный для сбора данных о сети жертвы с целью развития атаки. В настоящее время вредоносный скрипт, который в Advanced Intel нарекли LightBot, распространяется через спам-рассылки и отдается со страниц, созданных злоумышленниками на веб-сервисе Google Документы.

Авторство LightBot было определено на основании схожести техник доставки. Новый зловред раздается с использованием тех же элементов социальной инженерии, которые ранее были замечены в кампаниях BazarLoader — программы-загрузчика с функциями бэкдора, которая унаследовала часть кода TrickBot.

Атака LightBot начинается с поддельного письма, имитирующего ответ HR или штатного юриста компании сотруднику, которого якобы собираются уволить по жалобе клиента. Фальшивка снабжена ссылками на некий документ в облаке Google; при заходе на указанную страницу получателю сообщают, что предварительный просмотр невозможен, и предлагают скачать документ на компьютер.

Нажатие встроенной ссылки влечет загрузку JavaScript-файла, замаскированного под документ Word. На самом деле его назначением является запуск вредоносного PowerShell-сценария — LightBot.

Анализ нового зловреда показал, что он способен в фоновом режиме поддерживать связь с C2-сервером, ожидая команд на загрузку других скриптов PowerShell, а также сбор и отправку информации. В ходе тестирования LightBot интересовался следующими данными:

имя компьютера
используемое оборудование
имя пользователя
версия Windows
список контроллеров домена Windows
имя основного контроллера домена
настройки подключения для статического IP-адреса
домен DNS
тип сетевого адаптера
список установленных программ

В обеспечение бесперебойной C2-связи в зараженной системе создается запланированное задание на ежедневный запуск вредоносного сценария в семь утра. Дополнительные скрипты, получаемые с сервера, помогают LightBot искать и отсылать только ту информацию, которая в данный момент интересует оператора. Это позволяет ему составить профиль жертвы и решить, стоит продолжать атаку или нет.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 14:19

Атаки на сайты DDoS-атаки Домашние пользователи Корпорации

Крупный интернет-провайдер Сибсети подвергся мощной DDoS-атаке

Утром 30 апреля интернет-провайдер «Сибсети» подвергся DDoS-атаке. Под удар попали филиалы компании в Новосибирске, Новокузнецке, Кемерове и Красноярске.

Как сообщили в «Сибсетях» одному из местных СМИ, атака началась около 10:00 по местному времени. При этом сервис Downdetector зарегистрировал первые жалобы ещё в 6:00. Наибольшее количество обращений пришлось как раз на 10:00.

«В данный момент новосибирский филиал подвергается активной DDoS-атаке, направленной на нашу инфраструктуру. Злоумышленники активизировались перед майскими праздниками, перегружая наши серверы множеством запросов. Это может вызывать временные сбои в работе личного кабинета и мобильного приложения "Мои Сибсети"», — заявили в отделе маркетинга компании на официальной странице во «ВКонтакте».

Как уточняет ТАСС, спустя час атака начала распространяться на другие регионы. Сначала — на Новокузнецк и Кемерово, затем на Красноярск.

Согласно данным Downdetector, основная масса жалоб поступает из Новосибирской области и Красноярского края. Более 80% пользователей сообщают о полном отсутствии домашнего интернета.

Напомним, что в ноябре 2024 года новосибирский филиал «Сибсети» уже подвергался масштабной DDoS-атаке, последствия которой устранялись в течение нескольких дней.

LightBot — новый инструмент разведки от создателей TrickBot

Читайте также