Horns&Hooves: Νέα καμπάνια διανέμει τα NetSupport RAT & BurnsRAT
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Horns&Hooves: Νέα καμπάνια διανέμει τα NetSupport RAT & BurnsRAT
https://www.secnews.gr/632937/hornshooves-nea-kakobouli-kampania-dianemei-netsupport-rat-burnsrat/
Dec 3rd 2024, 12:38
Μια νέα κακόβουλη εκστρατεία, που ονομάστηκε Horns&Hooves, στοχεύει ιδιώτες χρήστες, εμπόρους λιανικής και παρόχους διάφορων υπηρεσιών (κυρίως στη Ρωσία) για την παράδοση των NetSupport RAT και BurnsRAT.
Η εκστρατεία ονομάστηκε Horns&Hooves από την Kaspersky και έχει στοχεύσει περισσότερα από 1.000 θύματα από το Μάρτιο του 2023. Τα θύματα μολύνονται με τα NetSupport RAT και BurnsRAT τα οποία δίνουν πρόσβαση στα συστήματα-στόχους. Μέσω αυτής της αρχικής πρόσβασης, οι επιτιθέμενοι μπορούν μετά να εγκαταστήσουν info-stealer malware, όπως το Rhadamanthys και το Meduza.
Οι επιθέσεις ξεκινούν με phishing emails που περιέχουν συνημμένα που μοιάζουν με αρχεία ZIP. Στην πραγματικότητα, περιέχουν JScript scripts. Τα script files παρουσιάζονται ως αιτήματα και προσφορές από πιθανούς πελάτες ή συνεργάτες.
Δείτε επίσης: Το ElizaRAT καταχράται τις υπηρεσίες Google, Telegram και Slack
Σε ορισμένες περιπτώσεις, το αρχείο ZIP περιείχε έγγραφα που σχετίζονταν με τον οργανισμό ή το άτομο που μιμούνταν (για περισσότερες πιθανότητες επιτυχίας της επίθεσης και άνοιγμα του αρχείου με το κακόβουλο λογισμικό).
Ένα από τα πρώτα δείγματα που αναγνωρίστηκαν ως μέρος της καμπάνιας Horns&Hooves είναι ένα HTML Application (HTA) file που, όταν εκτελείται, κατεβάζει μια εικόνα PNG (δόλωμα) από έναν απομακρυσμένο διακομιστή χρησιμοποιώντας το curl utility για Windows. Ταυτόχρονα, ανακτά και εκτελεί κρυφά ένα άλλο script ("bat_install.bat") από διαφορετικό διακομιστή χρησιμοποιώντας το εργαλείο BITSadmin.
Χρησιμοποιώντας το BITSadmin, το νέο script προχωρά στη λήψη πολλών άλλων αρχείων, συμπεριλαμβανομένου του κακόβουλου λογισμικού NetSupport RAT, το οποίο δημιουργεί επαφή με έναν διακομιστή εντολών και ελέγχου (C2).
Μια καμπάνια που παρατηρήθηκε στα μέσα Μαΐου 2023 περιλάμβανε ένα ενδιάμεσο JavaScript που μιμείται νόμιμες βιβλιοθήκες JavaScript, όπως το Next.js, για την ενεργοποίηση της αλυσίδας μόλυνσης NetSupport RAT.
Η Kaspersky είπε ότι βρήκε, επίσης, μια άλλη παραλλαγή του αρχείου JavaScript που εγκαθιστούσε ένα NSIS installer που είναι υπεύθυνο για την ανάπτυξη του BurnsRAT.
"Παρόλο που το backdoor υποστηρίζει εντολές για απομακρυσμένη λήψη και εκτέλεση αρχείων, καθώς και διάφορες μεθόδους εκτέλεσης εντολών μέσω της γραμμής εντολών των Windows, η κύρια αποστολή αυτού του στοιχείου είναι να ξεκινήσει το Remote Manipulator System (RMS) ως υπηρεσία και να στείλει το RMS session ID στον διακομιστή των εισβολέων", εξήγησε ερευνητής.
Δείτε επίσης: LodaRAT malware: Στοχεύει χρήστες Windows και κλέβει credentials
"Το RMS είναι μια εφαρμογή που επιτρέπει στους χρήστες να αλληλεπιδρούν με απομακρυσμένα συστήματα μέσω δικτύου. Παρέχει τη δυνατότητα διαχείρισης της επιφάνειας εργασίας, εκτέλεσης εντολών, μεταφοράς αρχείων και ανταλλαγής δεδομένων μεταξύ συσκευών που βρίσκονται σε διαφορετικές γεωγραφικές τοποθεσίες".
Ως ένδειξη ότι οι φορείς απειλών συνέχισαν να τροποποιούν τον τρόπο λειτουργίας τους, δύο άλλες επιθέσεις, που εντοπίστηκαν στα τέλη Μαΐου και τον Ιούνιο του 2023, έφεραν ένα πλήρως ανανεωμένο αρχείο BAT για την εγκατάσταση του NetSupport RAT και ενσωμάτωσαν το κακόβουλο λογισμικό απευθείας στον κώδικα JavaScript, αντίστοιχα.
Υπάρχουν ενδείξεις ότι η καμπάνια είναι έργο μιας ομάδας που είναι γνωστή ως TA569 (ή Gold Prelude, Mustard Tempest και Purple Vallhund).
Horns&Hooves: Νέα κακόβουλη καμπάνια διανέμει τα NetSupport RAT & BurnsRAT
Προστασία από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT.
Δείτε επίσης: Ρώσοι hackers εκμεταλλεύονται ευπάθεια στο NTLM για τη διάδοση RAT Malware μέσω Phishing emails
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά RAT malware.
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT (π.χ. NetSupport RAT). Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Horns&Hooves: Νέα καμπάνια διανέμει τα NetSupport RAT & BurnsRAT
https://www.secnews.gr/632937/hornshooves-nea-kakobouli-kampania-dianemei-netsupport-rat-burnsrat/
Dec 3rd 2024, 12:38
Μια νέα κακόβουλη εκστρατεία, που ονομάστηκε Horns&Hooves, στοχεύει ιδιώτες χρήστες, εμπόρους λιανικής και παρόχους διάφορων υπηρεσιών (κυρίως στη Ρωσία) για την παράδοση των NetSupport RAT και BurnsRAT.
Η εκστρατεία ονομάστηκε Horns&Hooves από την Kaspersky και έχει στοχεύσει περισσότερα από 1.000 θύματα από το Μάρτιο του 2023. Τα θύματα μολύνονται με τα NetSupport RAT και BurnsRAT τα οποία δίνουν πρόσβαση στα συστήματα-στόχους. Μέσω αυτής της αρχικής πρόσβασης, οι επιτιθέμενοι μπορούν μετά να εγκαταστήσουν info-stealer malware, όπως το Rhadamanthys και το Meduza.
Οι επιθέσεις ξεκινούν με phishing emails που περιέχουν συνημμένα που μοιάζουν με αρχεία ZIP. Στην πραγματικότητα, περιέχουν JScript scripts. Τα script files παρουσιάζονται ως αιτήματα και προσφορές από πιθανούς πελάτες ή συνεργάτες.
Δείτε επίσης: Το ElizaRAT καταχράται τις υπηρεσίες Google, Telegram και Slack
Σε ορισμένες περιπτώσεις, το αρχείο ZIP περιείχε έγγραφα που σχετίζονταν με τον οργανισμό ή το άτομο που μιμούνταν (για περισσότερες πιθανότητες επιτυχίας της επίθεσης και άνοιγμα του αρχείου με το κακόβουλο λογισμικό).
Ένα από τα πρώτα δείγματα που αναγνωρίστηκαν ως μέρος της καμπάνιας Horns&Hooves είναι ένα HTML Application (HTA) file που, όταν εκτελείται, κατεβάζει μια εικόνα PNG (δόλωμα) από έναν απομακρυσμένο διακομιστή χρησιμοποιώντας το curl utility για Windows. Ταυτόχρονα, ανακτά και εκτελεί κρυφά ένα άλλο script ("bat_install.bat") από διαφορετικό διακομιστή χρησιμοποιώντας το εργαλείο BITSadmin.
Χρησιμοποιώντας το BITSadmin, το νέο script προχωρά στη λήψη πολλών άλλων αρχείων, συμπεριλαμβανομένου του κακόβουλου λογισμικού NetSupport RAT, το οποίο δημιουργεί επαφή με έναν διακομιστή εντολών και ελέγχου (C2).
Μια καμπάνια που παρατηρήθηκε στα μέσα Μαΐου 2023 περιλάμβανε ένα ενδιάμεσο JavaScript που μιμείται νόμιμες βιβλιοθήκες JavaScript, όπως το Next.js, για την ενεργοποίηση της αλυσίδας μόλυνσης NetSupport RAT.
Η Kaspersky είπε ότι βρήκε, επίσης, μια άλλη παραλλαγή του αρχείου JavaScript που εγκαθιστούσε ένα NSIS installer που είναι υπεύθυνο για την ανάπτυξη του BurnsRAT.
"Παρόλο που το backdoor υποστηρίζει εντολές για απομακρυσμένη λήψη και εκτέλεση αρχείων, καθώς και διάφορες μεθόδους εκτέλεσης εντολών μέσω της γραμμής εντολών των Windows, η κύρια αποστολή αυτού του στοιχείου είναι να ξεκινήσει το Remote Manipulator System (RMS) ως υπηρεσία και να στείλει το RMS session ID στον διακομιστή των εισβολέων", εξήγησε ερευνητής.
Δείτε επίσης: LodaRAT malware: Στοχεύει χρήστες Windows και κλέβει credentials
"Το RMS είναι μια εφαρμογή που επιτρέπει στους χρήστες να αλληλεπιδρούν με απομακρυσμένα συστήματα μέσω δικτύου. Παρέχει τη δυνατότητα διαχείρισης της επιφάνειας εργασίας, εκτέλεσης εντολών, μεταφοράς αρχείων και ανταλλαγής δεδομένων μεταξύ συσκευών που βρίσκονται σε διαφορετικές γεωγραφικές τοποθεσίες".
Ως ένδειξη ότι οι φορείς απειλών συνέχισαν να τροποποιούν τον τρόπο λειτουργίας τους, δύο άλλες επιθέσεις, που εντοπίστηκαν στα τέλη Μαΐου και τον Ιούνιο του 2023, έφεραν ένα πλήρως ανανεωμένο αρχείο BAT για την εγκατάσταση του NetSupport RAT και ενσωμάτωσαν το κακόβουλο λογισμικό απευθείας στον κώδικα JavaScript, αντίστοιχα.
Υπάρχουν ενδείξεις ότι η καμπάνια είναι έργο μιας ομάδας που είναι γνωστή ως TA569 (ή Gold Prelude, Mustard Tempest και Purple Vallhund).
Horns&Hooves: Νέα κακόβουλη καμπάνια διανέμει τα NetSupport RAT & BurnsRAT
Προστασία από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT.
Δείτε επίσης: Ρώσοι hackers εκμεταλλεύονται ευπάθεια στο NTLM για τη διάδοση RAT Malware μέσω Phishing emails
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά RAT malware.
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT (π.χ. NetSupport RAT). Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια