Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Хакеры используют службу WER в бесфайловых кибератаках
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Хакеры используют службу WER в бесфайловых кибератаках

08.10.2020

За новой вредоносной кампанией предположительно стоит вьетнамская кибершпионская группировка APT32.


Неизвестная хакерская группировка внедряет вредоносный код в легитимную Службу регистрации ошибок Windows (Windows Error Reporting, WER) для обхода обнаружения в рамках бесфайловых кибератак.

Использование WER в вредоносных операциях не является чем-то новым, однако, как отметили специалисты Malwarebytes Хуссейн Джази (Hossein Jazi) и Жером Сегура (Jérôme Segura), данная кампания – дело рук неизвестной кибершпионской группировки. По словам экспертов, для хостинга полезной нагрузки злоумышленники скомпрометировали некий сайт и с помощью фреймворка CactusTorch осуществили бесфайловую кибератаку на неназванную жертву.


Атака была обнаружена 17 сентября нынешнего года, когда исследователи выявили фишинговые письма с вредоносным документом в ZIP-архиве, замаскированные под требование компенсации работнику. После открытия документа выполнялся shell-код с помощью вредоносного макроса CactusTorch VBA, загружающего полезную нагрузку .NET непосредственно в память атакуемого Windows-устройства.


Далее вредоносное ПО выполнялось из памяти компьютера, не оставляя никаких следов на жестком диске, и внедряло shell-код в WerFault.exe – процесс службы WER. Затем новый поток WER, в который был внедрен вредоносный код, проходил несколько антианалитических проверок, чтобы узнать, отлаживается ли он, работает ли на виртуальной машине или в песочнице. Другими словами, вредонос убеждался, что его не изучают ИБ-эксперты.


Если все проверки были успешно пройдены, вредоносное ПО переходило к следующему шагу – расшифровало и загружало в новом потоке WER финальный shell-код, который затем выполнялся в новом потоке. Далее зашружалась и вводилась в новый процесс финальная полезная нагрузка, хранящаяся на сайте asia-kotoba [.] в виде поддельного фавикона.


Хотя исследователи затрудняются с уверенностью сказать, кто стоит за новыми атаками, индикаторы компрометации указывают на вьетнамскую кибершпионскую группировку APT32 (другие названия OceanLotus и SeaLotus).

 

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Уязвимости
Опубликовал: shellmann
Просмотров: 665
Проголосовало через SMS: 0
Ключевые слова: shell, error, windows, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Релиз ядра Linux 5.9
  • Российские хакеры вооружились уязвимостью Zerologon
  • Тысячи приватных звонков американских заключенных оказались в отк...
  • Шифровальщик атаковал немецкую компанию Software AG
  • Злоумышленники используют службу Windows Error Reporting для бесф...
  • Microsoft предупредила о вымогателях, которые выдают себя за МВД ...
  • Инфостилер Valak ворует информацию из почтовых систем Microsoft E...
  • GitLab обнаружил множество уязвимостей в исходном коде проектов с...
  • Хакеры используют службу WER в бесфайловых кибератаках
  • Ботнет HEH способен уничтожить все данные на IoT-девайсах

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / Game console » Re: консольные команды для Call of Duty 4 - Modern Warfare
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Нужна помощь в скачивании файла
  • Разное / Предложения работы » требуется взлом почт на постоянной основе
  • Разное / Предложения работы » необходим взлом почты
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Анализ открытых баз данных ElasticSearch (легкий гайд)
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}