Quasar RAT, trojanac otvorenog koda za daljinski pristup poznat i kao CinaRAT ili Yggdrasil, primijećen je kako koristi novu Microsoftovu datoteku kao dio svog procesa bočnog učitavanja DLL-a kako bi potajno ispustio zlonamjerne sadržaje na kompromitovane Windows sisteme. U 2022, Uptycs istraživači su primijetili da malver QBot koristi taktiku putem Microsoftove datoteke ‘calc.exe’. Sada, 2023. godine, hakeri iza Quasar RAT-a usvojili su sličnu metodu i koriste dvije Microsoftove datoteke — ctfmon.exe i calc.exe — za izvršavanje payloada bez izazivanja sumnje.
Pogledajte scenario napada
- Kako je dokumentovao Uptycs, napad koristi datoteku ISO slike koja sadrži tri datoteke: legitimnu binarnu datoteku pod nazivom ctfmon.exe koja je preimenovana u eBill-997358806.exe, datoteku MsCtfMonitor.dll koja je preimenovana u monitor.ini i zlonamjernu verziju MsCtfMonitor.dll. Napadač skriva maliciozni DLL unutar “ctfmon.exe”, koji postavlja teren za naredne radnje.
- Ovo pokreće zlonamjerni DLL, što dovodi do infiltracije Quasar RAT payloada u memoriju računara, pokazujući sposobnost napadača da zaobiđe sigurnosne mjere.
- Jednom kada se Quasar RAT izvrši u memoriji računara, on dalje koristi tehniku ukopavanja procesa koja mu omogućava da sakrije svoju zlonamjernu namjeru i učini detekciju izazovnijom.
DLL bočno učitavanje dobija na snazi
- Iako DLL sideloading nije novost, istraživači primjećuju povećanje usvajanja procesa od strane hakera.
- Nedavno je novootkrivena grupa hakera po imenu Grayling iskoristila taktiku putem SbieDll_Hook-a kako bi učitala različita opterećenja, kao što su Cobalt Strike, NetSpy i Havoc framework, na sisteme žrtava.
- U drugom incidentu, manje poznati kineski haker, ToddyCat, iskoristio je bočno učitavanje DLL-a za izvršavanje zlonamjernih payloada protiv vladinih i telekomunikacijskih organizacija u azijskim zemljama.
Zaključak
Budući da bočno učitavanje DLL-a prvenstveno koristi veze, e-poruke ili priloge za skrivanje malvera, organizacijama se savjetuje da paze na takve sumnjive i nepoznate artefakte kako bi bile bezbjedne. Osim toga, preporučuje se implementacija naprednih sigurnosnih rješenja krajnjih tačaka za otkrivanje i blokiranje sumnjivih aktivnosti u početnoj fazi.
Izvor: Cyware Alerts – Hacker News