Hakeri sve više koriste PDF datoteke za isporuku malicioznog softvera i izvođenje cyber napada.
Oni iskorištavaju sveprisutnost i pouzdanost PDF-ova kako bi naveli žrtve da otvore maliciozone datoteke koje mogu da sadrže maliciozone veze, ugrađeni kod ili ranjivosti koje omogućavaju daljinsko izvršavanje koda.
Stručnjaci za sigurnost u Palo Alto Networks nedavno su otkrili da hakeri aktivno koriste PDF datoteke kako bi isporučili novi SnipBot malver.
Hakeri naoružavaju PDF datoteke
SnipBot je novootkrivena varijanta porodice maliciozonih programa “ RomCom ” koju je u aprilu 2024. identifikovao Palo Alto Networks Advanced WildFire sandbox.
Ova sofisticirana prijetnja je označena kao “RomCom 5.0” i kombinuje karakteristike iz-
- RomCom 3.0
- PEAPOD (RomCom 4.0)
Dok SnipBot koristi višestepeni proces infekcije koji počinje potpisanom izvršnom datotekom koja je prerušena u „PDF“.
Ovo koristi anti-sandbox tehnike kao što su “provjera naziva procesa” i “unosi u registar”.
Kako bi izbjegao otkrivanje, maliciozoni softver koristi “zamračenje toka kontrole na temelju poruka u prozoru” i “šifrirane nizove”.
Osim toga, preuzima dodatne korisne sadržaje poput DLL-a koji ubacuje kod u Explorer.exe putem „otmice COM-a“.
Osnovna funkcionalnost SnipBot-a uključuje ‘backdoor (single.dll)’ koji stvara “SnipMutex” i omogućava hakerima da ‘izvršavaju komande’, ‘učitavaju/preuzimaju datoteke’ i ‘razmjenjuju dodatne module’.
U početku, maliciozoni softver komunicira sa komandnim i kontrolnim (C2) serverima koristeći domene poput „xeontime[. ]com” i “drvmcprotect[. ]com.”
Dok su ranije verzije maliciozonog softvera koristile različite taktike poput ‘lažnih Adobe instalatora fontova’ i ‘C2 domena’ kao što je ilogicflow[. ]com i webtimeapi[. ]com.
Tekuća sofisticiranost sajber prijetnji ilustruje evolucija SnipBota.
Kao SnipBot, različite tehnike izbjegavanja, metode isporuke tereta i mogućnosti nakon infekcije narušavaju sisteme i eksfiltriraju osjetljive podatke.
Analiza aktivnosti SnipBota nakon infekcije, praćene Cortex XDR telemetrijom, otkrila je sofisticiranu sekvencu napada koja je trajala oko četiri sata 4. aprila.
Napadač je, koristeći funkcionalnost komandne linije glavnog modula SnipBot-a (single.dll), prvo izvršio izviđanje mreže kako bi identifikovao kontroler domene.
Zatim su pokušali da eksfiltriraju datoteke iz žrtvinih dokumenata, preuzimanja i fascikli OneDrive na server na 91.92.250[.]104.
Napadač je koristio alate kao što su AD Explorer i WinRAR (preimenovani u fsutil.exe) za otkrivanje i kompresiju datoteka dok je koristio klijent PuTTY Secure Copy (preimenovan u dsutil.exe) za prijenos podataka.
Ciljani tipovi datoteka uključivali su standardne sistemske datoteke i neobične formate vezane za zdravlje (ZBF, DCM).
Iako je bilo problema, o čemu svjedoče pokušaji da se ubije PuTTY proces, napadač je nastavio do kraja i instalirao “config-pdf.dll” koji je preuzet sa xeontime[. ]com, i tražio komande na cethernet[. ]com.
Napad je završen pokušajem snimanja lokalne baze podataka Active Directory i arhivskih datoteka sa c:\essential.
Ovaj sveobuhvatni pristup, koji kombinuje prilagođeni malver (SnipBot), tehnike života van zemlje i ciljanu eksfiltraciju podataka, sugeriše mogući prelazak sa finansijskih motiva na špijunažu, kao što je navedeno u nalazima CERT-UA o akteru pretnje.
Izvor: CyberSecurityNews