Maliciozni softver More_Eggs, sofisticirani JavaScript backdoor kojim upravlja financijski motivisana grupa prijetnji Venom Spider (poznata i kao Golden Chickens), pojavio se kao značajna prijetnja korporativnim okruženjima.
Ovaj backdoor je posebno zabrinjavajući jer se distribuiše putem modela Malware-as-a-Service (MaaS) raznim prijetnjama, uključujući ozloglašene grupe poput FIN6 i Cobalt Group.
Maliciozni softver cilja odjele za ljudske resurse iskorišćavajući inherentno povjerenje koje se daje e-porukama s prijavama za posao, pretvarajući ono što se čini kao legitimna prepiska kandidata u opasne vektore napada.
Ovi napadi počinju s naizgled nevinim prijavama za posao koje sadrže ZIP datoteke u prilogu. Arhiva obično uključuje lažnu sliku kako bi se stvorio privid legitimnosti, uz maliciozni Windows prečicu (LNK) datoteke.
Kada se aktivira, ova prečica pokreće složeni lanac događaja koji na kraju aktivira More_Eggs backdoor, dajući napadačima udaljeni pristup kompromitovanim sistemima i potencijalnim ulaznim tačkama u korporativne mreže.
Analitičari Denwp Researcha identifikovali su nedavni uzorak More_Eggs pod nazivom “Sebastian Hall.zip” koji primjeruje tehnike ove prijetnje.
Nakon analize, istraživači su otkrili da uzorak sadrži i sliku mamac (b.jpg) i zlonamjernu LNK datoteku (Sebastian Hall.lnk) koja prilikom otvaranja izvršava jako zamaskirane naredbe.
Istraživači su primijetili da ovaj pristup socijalnog inženjeringa efikasno zaobilazi ljudsku budnost pojavljujući se kao rutinski materijal za prijavu za posao.
Utjecaj More_Eggs-a proteže se dalje od početnog kompromitovanja, jer backdoor pruža napadačima mogućnosti prikupljanja sistemskih informacija, implementacije dodatnih korisnih podataka i uspostavljanja perzistencije.
Ovo stvara značajan rizik za organizacije, posebno one s velikim obimom HR operacija koje svakodnevno obrađuju brojne prijave za posao.
Polimorfna priroda malicioznog softvera osigurava da svaka žrtva dobije jedinstveni korisni sadržaj, što otežava detekciju tradicionalnim sigurnosnim alatima .
Analiza mehanizma infekcije
Lanac infekcije počinje kada žrtva otvori zlonamjernu LNK datoteku, pokrećući izvršavanje složene, obfusirane sekvence komandne linije.
.webp)
Alati poput LECmd-a mogu otkriti pravu prirodu ovih naredbi koje bi se inače prikazivale skraćene u dijalogu svojstava Windowsa.
/v /c start "" "C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE" & (for %f in ("peric=s" "tartarly=e" "unvoyagingu=al" ) do @set %~f) && !peric!et " jugs=e" && c!unvoyagingu!l s!tartarly!t " colberte=c"
.webp)
Ova obfusirana naredba koristi tehnike zamjene varijabli za konstruisanje i izvršavanje naredbi, izbjegavajući pritom otkrivanje.
Skripta pokreće Microsoft Word kao mamac kako bi odvratila pažnju žrtvi dok u pozadini obavlja maliciozni aktivnosti.
Manipulacijom varijabli, gradi naredbu za kreiranje konfiguracijske datoteke pod nazivom ieuinit.inf u privremenom direktoriju Windowsa.
Datoteka ieuinit.inf oponaša legitimnu strukturu Windows INF datoteke, ali sadrži kodirane podatke, uključujući URL-ove za komande i kontrolu (C2) i operativne instrukcije.
.webp)
Najkritičnije je to što skripta kopira legitimnu Windows binarnu datoteku, ieuinit.exe, iz sistemskog direktorija Windowsa u privremeni direktorij, a zatim je izvršava sa posebnim parametrom: –
xcopy /Y /C /Q %windir%\system32\ieuinit.exe "%temp%"
start "" %temp%\ieuinit.exe -basjestingsOva tehnika, poznata kao “življenje van zemlje”, omogućava malicioznom softveru da iskoristi pouzdane sistemske datoteke u zlonamjerne svrhe .
Kada se izvrši s odgovarajućim argumentima, ieuinit.exe obrađuje malicioznu konfiguracijsku datoteku, preuzima jako zamaskiranu JavaScript datoteku s udaljenog servera i na kraju uspostavlja More_Eggs backdoor na sistemu žrtve.
JavaScript korisni teret koristi napredne tehnike protiv analize i polimorfizam na strani servera kako bi generisao jedinstveni kod za svaku žrtvu, što značajno komplikuje napore otkrivanja od strane tradicionalnih sigurnosnih alata i analitičara.
Izvor: CyberSecurityNews