» data-html=»true» data-original-title=»Cobalt Strike»>Cobalt Strike Beacon, FONELAUNCH и SNOWCONE.
- FONELAUNCH — это загрузчик на основе .NET, предназначенный для загрузки закодированных полезных нагрузок в память;
- SNOWCONE — это загрузчик, который извлекает полезную нагрузку следующего этапа (обычно Вредоносное ПО IcedID появилось в 2017 году как модульный банковский троян, но с тех пор превратилось в дроппер, который обычно используется для получения первоначального доступа к корпоративным сетям.
IcedID доставляется через фишинговые электронные письма в ISO-файлах, архивах или вложениях документов с макросами. При этом IcedID уклоняется от обнаружения и устанавливает постоянство на хосте. В итоге вредоносное ПО устанавливает прокси-сервер для связи с C&C-сервером и доставляет дополнительные полезные нагрузки.
» data-html=»true» data-original-title=»IcedID»>IcedID) через HTTP.
Цепочка атак GOOTLOADER.POWERSHELL
В то время как общие цели Gootkit остались неизменными, сама последовательность атак претерпела значительные изменения – теперь файл JavaScript в ZIP-архиве троянизирован и содержит в себе обфусцированный код JavaScript, который и выполняет вредоносное ПО.
Новый вариант, обнаруженный в ноябре 2022 года, отслеживается как GOOTLOADER.POWERSHELL. Стоит отметить, что обновленная цепочка заражения также была задокументирована Trend Micro ранее в этом месяце в ходе атак Gootkit на сектор здравоохранения Австралии.
Более того, авторы вредоносного ПО использовали метод избегания обнаружения, используя сокрытие кода в измененных версиях легитимных библиотек JavaScript – jQuery, Chroma.js и Underscore.js.
3 разных варианта Gootkit – FONELAUNCH (FONELAUNCH.FAX), FONELAUNCH.PHONE и FONELAUNCH.DIALTONE — используются UNC2565 с мая 2021 года для выполнения DLL-библиотек, двоичных NET-файлов и PE-файлов, что указывает на то, что арсенал вредоносных программ постоянно поддерживается и обновляется. Эти изменения свидетельствуют об активном развитии и росте возможностей UNC2565.