Cybersecurity -onderzoekers waarschuwen voor een nieuwe phishing -campagne die zich richt op gebruikers in Taiwan met malwarefamilies zoals HoldingHands Rat en GH0stcringe.
De activiteit maakt deel uit van een bredere campagne die eerder in januari het Winos 4.0 Malware -framework heeft geleverd door phishing -berichten te verzenden die zich voordoet als het National Taxation Bureau van Taiwan, zei Fortinet Fortiguard Labs in een rapport gedeeld met het Hacker News.
Het Cybersecurity Company zei dat het extra malwaremonsters identificeerde door middel van continue monitoring en dat het dezelfde bedreigingsacteur waarnam, aangeduid als Silver Fox APT, met behulp van malware-geregen PDF-documenten of ZIP-bestanden die via phishing-e-mails worden verdeeld om GH0stcringe en een malware-stam te leveren op basis van Holding Handhands Rat.
Het is vermeldenswaard dat zowel HoldingHands Rat (AKA GH0stbins) als GH0stcringe varianten zijn van een bekende Trojan op afstand genaamd GH0st Rat, die veel wordt gebruikt door Chinese hackgroepen.
Het uitgangspunt van de aanval is een phishing -e -mail die zich vermomt als berichten van de overheid of zakelijke partners, die kunstaas met betrekking tot belastingen, facturen en pensioenen gebruiken om ontvangers te overtuigen om de bijlage te openen. Er zijn alternatieve aanvalsketens gevonden om een ingebedde afbeelding te benutten die, wanneer geklikt, de malware downloadt.
De PDF -bestanden bevatten op hun beurt een link die potentiële doelen omleidt naar een downloadpagina die een zip -archief host. Aanwezig in het bestand zijn verschillende legitieme uitvoerbare bestanden, shellcode -laders en gecodeerde shellcode.
De multi-fasen infectiescènes omvat het gebruik van de shellcode-lader om de shellcode te decoderen en uit te voeren, wat niets anders is dan DLL-bestanden die door de legitieme binaries worden geladen met behulp van DLL-side-loadingtechnieken. Tussenladingen die zijn ingezet als onderdeel van de aanval, bevatten anti-VM en escalatie van privileges om ervoor te zorgen dat de malware niet gehinderd is op de gecompromitteerde host.
De aanval culmineert met de uitvoering van “MSGDB.DAT”, die command-and-control (C2) functies implementeert om gebruikersinformatie te verzamelen en extra modules te downloaden om bestandsbeheer en externe bureaubladmogelijkheden te vergemakkelijken.
Fortinet zei dat het ook de dreigingsacteur ontdekte die GH0stcringe propageerde via PDF -bijlagen in phishing -e -mails die gebruikers meenemen om HTM -pagina’s te downloaden.
“De aanvalsketen bestaat uit talloze fragmenten van shellcode en laders, waardoor de aanvalstroomcomplex is,” zei het bedrijf. “Over Winos, HoldingHands en GH0stcringe ontwikkelt deze dreigingsgroep continu zijn malware- en distributiestrategieën.”
