XWorm RAT оброс разнородными загрузчиками для обхода защиты Windows

XWorm RAT оброс разнородными загрузчиками для обхода защиты Windows

XWorm RAT оброс разнородными загрузчиками для обхода защиты Windows

Распространители XWorm усложнили цепочку заражения, включив в нее множество различных стейджеров и лоадеров, чтобы уберечь трояна удаленного доступа от обнаружения и повысить эффективность доставки целевой полезной нагрузки.

Новые проводники XWorm пытаются подавить Windows-защиту AMSI и ETW, а также обеспечивают закрепление в системе средствами реестра и планировщика задач.

Для сокрытия вредоносных функций все эти загрузчики используют обфускацию (Base64 и шифрование по AES). Схема доставки пейлоада динамически изменяется и характерна разнообразием файловых форматов и языков сценариев — PowerShell, VBS, NET-экзешники, JavaScript, пакетные скрипты, .hta, .lnk, .iso, .vhd, .img, макросы Microsoft Office.

 

Сам обновленный XWorm прежде всего собирает сведения о зараженной системе: проверяет через WMI наличие антивирусов, драйверов видеозахвата, получает информацию о CPU, а также пытается обезвредить Microsoft Defender, добавив свои файлы в исключения.

Вредонос по-прежнему использует инъекции в процессы и владеет техникой DLL side-loading. Выступая в роли бэкдора, он выполняет команды, подаваемые с C2-сервера, и не утратил способность самостоятельно распространяться через съемные носители.

Для распространения трояна используются имейл-вложения и поддельные документы, встроенные в тело сообщений, имитирующих деловую переписку (поддельные уведомления о счетах к оплате, об отгрузке товара и т. п.).

В ходе одной из XWorm-кампаний его раздавали в связке с AsyncRAT, чтобы обеспечить надежный плацдарм для развертывания в сетях шифровальщика, созданного с помощью слитого в Сеть билдера LockBit Black.

С начала июля зловредный RAT также раздают с использованием стеганографии. После отработки начального VBScript (как вариант — JavaScript) в системе запускается встроенный PowerShell-код, который загружает файл JPG с NET-лоадером и финальным зловредом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вишинг-атака помогла похитить данные клиентов Cisco

Как сообщила Cisco, злоумышленник смог обманом получить доступ к данным пользователей Cisco.com. Всё произошло после фишингового звонка (так называемый «вишинг» — когда атакуют через голосовую связь), во время которого киберпреступник притворился сотрудником и убедил представителя Cisco выдать ему доступ.

Инцидент обнаружили 24 июля. Киберпреступник получил и выгрузил часть данных из облачной CRM-системы, с которой Cisco работает через стороннего подрядчика.

Утекла базовая информация о клиентах: имена, названия компаний, адреса, имейлы, телефоны, ID пользователей, а также технические детали вроде даты создания аккаунта.

Сколько всего пользователей пострадало — в Cisco не говорят. Представитель компании отказался уточнить масштабы утечки.

Судя по всему, это не первый случай взлома через такие CRM-платформы. Ранее сообщалось о похожих инцидентах у Allianz Life, Tiffany & Co., Qantas и других компаний, данные которых хранились в системах Salesforce. Известно, что Cisco тоже является клиентом Salesforce.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru