Американские военные хакеры атаковали

Исследователи обнаружили доказательства того, что новые субъекты угроз используют файлы PNG для доставки вредоносных полезных нагрузок.

ESET и Avast подтвердили, что с начала сентября 2022 года они видели злоумышленника по имени Ворок, использующего этот метод.

Ворок, по-видимому, был занят поиском высокопоставленных жертв, таких как правительственные организации, на Ближнем Востоке, в Юго-Восточной Азии и Южной Африке.

многоступенчатая атака

Атака представляет собой многоэтапный процесс, в котором злоумышленники используют неопубликованную загрузку DLL для выполнения вредоносного ПО CLRLoader, которое, в свою очередь, загружает DLL PNGLoader, способную считывать запутанный код, скрытый в файлах PNG.

Этот код транслируется в DropBoxControl, специальный похититель информации .NET C#, который злоупотребляет файловым хостингом Dropbox для связи и кражи данных. Это вредоносное ПО поддерживает множество команд, в том числе запуск cmd /c, запуск исполняемого файла, загрузку и загрузку данных в Dropbox и из него, удаление данных с целевых устройств, настройку новых каталогов (для загрузки дополнительных бэкдоров) и извлечение информации из системы.

Учитывая его набор инструментов, исследователи полагают, что Worok — это работа группы кибершпионажа, которая работает тихо, любит перемещаться в целевые сети и красть конфиденциальные данные. Похоже, что он также использует свои собственные проприетарные инструменты, поскольку исследователи не видели, чтобы кто-то еще их использовал.

Утверждается, что Workok использует «кодирование с наименьшим значащим битом (LSB)», встраивая небольшие биты вредоносного кода в младшие биты пикселей изображения.

Стеганография становится все более и более популярной в качестве тактики киберпреступности. Точно так же исследователи из Check Point Research (CPR) недавно обнаружили вредоносный пакет в репозитории PyPI на основе Python, который использует образ для доставки вредоносного троянского коня (открывается в новой вкладке) под названием apicolor, который широко используется GitHub в качестве дистрибутива. метод.

На первый взгляд безобидный пакет загружает изображение из Интернета, затем устанавливает дополнительные инструменты, обрабатывающие изображение, а затем запускает вывод обработки с помощью команды exec.

Одним из этих двух требований является код judyb, модуль стеганографии, способный обнаруживать скрытые сообщения в изображениях. Это привело исследователей к исходному изображению, которое, как выяснилось, загружало вредоносные пакеты из Интернета на конечную точку жертвы (откроется в новой вкладке).

Через: BleepingComputer (открывается в новой вкладке)

Поделиться