Een nieuwe multi-fase aanval is waargenomen bij het leveren van malwarefamilies zoals Agent Tesla-varianten, REMCOS-rat en Xloader.
“Aanvallers vertrouwen in toenemende mate op dergelijke complexe leveringsmechanismen om detectie te ontwijken, traditionele sandboxen om te bypass en te zorgen voor succesvolle laadverlening en uitvoering,” zei Palo Alto Networks Unit 42-onderzoeker Saqib Khanzada in een technisch beschrijving van de campagne.
Het uitgangspunt van de aanval is een misleidende e-mail die zich voordoet als een orderverzoek om een kwaadwillende bijlage met 7-zip-archief te leveren, die een JavaScript-bestand (.JSE) bevat.
De phishing -e -mail, waargenomen in december 2024, beweerde ten onrechte dat een betaling was gedaan en drong er bij de ontvanger op aan om een bijgevoegd bestelbestand te beoordelen. Het starten van de JavaScript -payload activeert de infectiescène, waarbij het bestand als een downloader voor een PowerShell -script van een externe server fungeert.
Het script herbergt op zijn beurt een basis van de lading van de basis64 die vervolgens is ontcijferd, geschreven naar de tijdelijke map van Windows en uitgevoerd. Hier gebeurt er iets interessants: de aanval leidt tot een druppelaar op de volgende fase die wordt gecompileerd met .NET of Autoit.
In het geval van een .NET -uitvoerbaar bestand, wordt de gecodeerde ingebedde lading – een Agent Tesla -variant die wordt vermoed als Snake KeyLogger of Xloader – gedecodeerd en geïnjecteerd in een lopende “Regasm.exe” -proces, een techniek die wordt waargenomen in vorige Agent Tesla -campagnes.
De Autoit compileerde uitvoerbare vorm daarentegen introduceert een extra laag in een poging om analyse -inspanningen verder te compliceren. Het Autoit -script in het uitvoerbare bestand bevat een gecodeerde payload die verantwoordelijk is voor het laden van de uiteindelijke shellcode, waardoor het .NET -bestand wordt geïnjecteerd in een “regsvcs.exe” -proces, wat uiteindelijk leidt tot agent Tesla -implementatie.
“Dit suggereert dat de aanvaller meerdere uitvoeringspaden gebruikt om de veerkracht te vergroten en detectie te ontwijken,” merkte Khanzada op. “De focus van de aanvaller blijft op een meerlagige aanvalsketen in plaats van verfijnde verduistering.”
“Door eenvoudige fasen te stapelen in plaats van zich te concentreren op zeer geavanceerde technieken, kunnen aanvallers veerkrachtige aanvalsketens creëren die analyse en detectie compliceren.”
Ironhusky levert een nieuwe versie van MysterySnail Rat
De openbaarmaking komt wanneer Kaspersky een campagne beschrijft die zich richt op overheidsorganisaties in Mongolië en Rusland met een nieuwe versie van een malware genaamd MysterySnail Rat. De activiteit is toegeschreven aan een Chinees sprekende dreigingsacteur genaamd Ironhusky.
Ironhusky, beoordeeld als actief sinds minstens 2017, werd eerder gedocumenteerd door het Russische cybersecuritybedrijf in oktober 2021 in verband met de zero-day exploitatie van CVE-201021-40449, een Win32K Privilege Escalation Flaw, om MysteryNail te leveren.
De infecties zijn afkomstig van een MMC-script van Microsoft Management Console (MMC) dat een Word-document van het National Land Agency of Mongolië nabootst (“co-financiering van Letter_alamgac”). Het script is ontworpen om een zip -archief op te halen met een kunstaasdocument, een legitiem binair (“ciscocollabhost.exe”) en een kwaadwillende DLL (“ciscosparklauncher.dll”).
Het is niet precies bekend hoe het MMC -script wordt verdeeld over interessante doelen, hoewel de aard van het kunstaasdocument suggereert dat het mogelijk via een phishing -campagne was.
Zoals waargenomen bij vele aanvallen, wordt “CiscoCollabhost.exe” gebruikt om de DLL te sideload, een intermediaire achterdeur die in staat is te communiceren met aanvallergestuurde infrastructuur door gebruik te maken van het open-source piping-server-project.
De backdoor ondersteunt mogelijkheden om opdracht shells uit te voeren, bestanden te downloaden/uploaden, mapinhoud op te sommen, bestanden te verwijderen, nieuwe processen te maken en zichzelf te beëindigen. Deze opdrachten worden vervolgens gebruikt om MysterySnail -rat opzij te zetten.
De nieuwste versie van de malware kan bijna 40 opdrachten accepteren, waardoor het bestand is, bewerkingen van bestandsbeheer kan uitvoeren, commando’s kan uitvoeren via CMD.EXE, Spawn en Kill -processen, services beheren en verbinding maken met netwerkbronnen via speciale DLL -modules.
Kaspperksy zei dat het zag dat de aanvallers een “hergebruikte en meer lichtgewicht versie” van MysterySnail -codeaamde mysterymonosnail laten vallen nadat preventieve acties door de getroffen bedrijven waren ondernomen om de intrusies te blokkeren.
“Deze versie heeft niet zoveel mogelijkheden als de versie van MysterySnail Rat,” merkte het bedrijf op. “Het was geprogrammeerd om slechts 13 basisopdrachten te hebben, gebruikt om de inhoud van de directory te vermelden, gegevens naar bestanden te schrijven en processen en externe shells te starten.”
