- 24,206
- 46
- 8 Ноя 2022
Многоликая угроза, которая мастерски водит за нос криминалистов.
Аналитики Intrinsec зафиксировали участившиеся атаки с использованием загрузчика PhantomVAI, который построен на основе старой утилиты RunPE и применяется в атаках по всему миру. Инструмент всплыл сразу в нескольких независимых отчётах, однако под разными названиями, что создало путаницу в описаниях кампаний и затруднило сопоставление данных между публикациями.
Разбор доступных материалов показал, что речь идёт об одном и том же загрузчике, который фигурировал в исследованиях вредоносной активности, связанной с семейством DarkCloud и рядом других угроз. Внутри кода обнаружен механизм Process Hollowing , реализованный через утилиту Mandark. Её несколько лет назад разработал и выложил в открытый доступ пользователь форума HackForums. Специалисты изучили параметры запуска и логику работы этого инструмента, что позволило точнее определить цепочку выполнения и признаки присутствия загрузчика в системе.
Большинство обнаруженных образцов маскировались под файл «Microsoft.Win32.TaskScheduler.dll». За основу злоумышленники взяли легитимный проект из GitHub, чтобы придать компоненту правдоподобный вид. Найденные экземпляры были связаны с различными вредоносными программами, среди которых Remcos, XWorm, AsyncRAT, DarkCloud и SmokeLoader. Также отмечено большое разнообразие фишинговых приманок , через которые распространялся загрузчик, что указывает на адаптацию схем доставки под различные регионы и аудитории.
Специалисты Intrinsec сообщили, что для отслеживания PhantomVAI подготовлены правила Yara и набор индикаторов компрометации для поиска следов активности. По данным команды, современные атакующие группы всё чаще используют модульные инструменты и повторно применяют старые открытые разработки, дорабатывая их под новые задачи. Это существенно затрудняет обнаружение и требует постоянного обновления методов поиска угроз.
В отчёте также подчёркивается, что для выявления подобных инструментов всё большую роль играет проактивная аналитика, сопоставление телеметрии и охота за угрозами на ранних этапах. Такой подход позволяет быстрее обнаруживать вторжения и снижать возможный ущерб для организаций.
Аналитики Intrinsec зафиксировали участившиеся атаки с использованием загрузчика PhantomVAI, который построен на основе старой утилиты RunPE и применяется в атаках по всему миру. Инструмент всплыл сразу в нескольких независимых отчётах, однако под разными названиями, что создало путаницу в описаниях кампаний и затруднило сопоставление данных между публикациями.
Разбор доступных материалов показал, что речь идёт об одном и том же загрузчике, который фигурировал в исследованиях вредоносной активности, связанной с семейством DarkCloud и рядом других угроз. Внутри кода обнаружен механизм Process Hollowing , реализованный через утилиту Mandark. Её несколько лет назад разработал и выложил в открытый доступ пользователь форума HackForums. Специалисты изучили параметры запуска и логику работы этого инструмента, что позволило точнее определить цепочку выполнения и признаки присутствия загрузчика в системе.
Большинство обнаруженных образцов маскировались под файл «Microsoft.Win32.TaskScheduler.dll». За основу злоумышленники взяли легитимный проект из GitHub, чтобы придать компоненту правдоподобный вид. Найденные экземпляры были связаны с различными вредоносными программами, среди которых Remcos, XWorm, AsyncRAT, DarkCloud и SmokeLoader. Также отмечено большое разнообразие фишинговых приманок , через которые распространялся загрузчик, что указывает на адаптацию схем доставки под различные регионы и аудитории.
Специалисты Intrinsec сообщили, что для отслеживания PhantomVAI подготовлены правила Yara и набор индикаторов компрометации для поиска следов активности. По данным команды, современные атакующие группы всё чаще используют модульные инструменты и повторно применяют старые открытые разработки, дорабатывая их под новые задачи. Это существенно затрудняет обнаружение и требует постоянного обновления методов поиска угроз.
В отчёте также подчёркивается, что для выявления подобных инструментов всё большую роль играет проактивная аналитика, сопоставление телеметрии и охота за угрозами на ранних этапах. Такой подход позволяет быстрее обнаруживать вторжения и снижать возможный ущерб для организаций.
- Источник новости
- www.securitylab.ru
