Los investigadores de ciberseguridad han descubierto un conteo con el código de código llamado el nuevo cargador de malware utilizado por pandillas de ransomware rusas para proporcionar herramientas posteriores a la explosión, como Cobalt Strike y AdaptIXC2 y Troyanos de acceso remoto conocidos como ratas PureHVNC.
«El contexto se usa como parte del conjunto de herramientas de accesorios de acceso inicial (IAB) o por afiliados de ransomware con lazos con los grupos de ransomware de Lockbit, Black Basta y Qilin», dijo Silent Push en el análisis.
Apareciendo en tres versiones diferentes de .NET, PowerShell y JavaScript, se han observado nuevas amenazas en campañas dirigidas a personas ucranianas que usan damas pesqueras basadas en PDF y pretenden ser la Policía Nacional Ucrania.
Tenga en cuenta que la versión PowerShell de Malware fue distribuida previamente por Kaspersky utilizando señuelos relacionados con Deepseek, y fue marcado como instalado y distribuido con los usuarios.
Según un proveedor de ciberseguridad ruso, el ataque condujo al despliegue de un implante llamado Blousevenon, que obliga al tráfico a través de un proxy controlado por actores de amenaza, permitiendo a los atacantes reconfigurar todas las instancias de navegación para que puedan manipular el tráfico de la red y recopilar datos.
En la investigación de Push Silent, la versión JavaScript es la implementación más desarrollada del cargador, que ofrece seis formas diferentes de descargar archivos, tres formas diferentes de ejecutar diferentes binarios de malware y capacidades predefinidas para identificar dispositivos de víctimas basados en la información del dominio de Windows.
El malware también puede establecer la persistencia del host recopilando información del sistema, creando tareas programadas que se hacen pasar por la tarea de actualización de Google en el navegador web Chrome y conectándose a un servidor remoto y esperando más instrucciones.
Esto incluye la capacidad de descargar y ejecutar las cargas útiles de instaladores DLL y MSI utilizando rundll32.exe y msiexec.exe, enviar metadatos del sistema y eliminar las tareas programadas que ha creado. Seis formas de descargar archivos incluyen usar Curl, PowerShell, msxml2.xmlhttp, winhttp.winhttprequest.5.1, bitsadmin y certutil.exe.
«Al implementar un generador de shell de potencia criptográfica para el comando» Fly «, utilizando lolbins como» certutil «y» bitsadmin «, los desarrolladores de contextores aquí demuestran una comprensión sofisticada de los sistemas operativos de Windows y el desarrollo de malware», dice Silent Push.
Un aspecto notable de CountLoader es el uso de la carpeta de música de la víctima como configuración para malware. El sabor de .NET comparte un cruce funcional con la contraparte de JavaScript, pero solo admite dos tipos diferentes de comandos (UpdateType.zip o UpdateType.exe), lo que indica una versión eliminada reducida.
El contexto es compatible con una infraestructura que contiene más de 20 dominios únicos, y el malware sirve como conducto para ataques de cobalto, adaptixc2 y ratas PureHVNC. Vale la pena señalar que las ratas PureHVNC son el predecesor de Purerat y también se conocen como Resolverrat.
La distribución de ratas PureHVNC las campañas recientes han aprovechado las tácticas de ingeniería social de ClickFix como vectores de entrega, y las víctimas son seducidas por las páginas de phishing de ClickFix a través de reclutamientos falsos en cada punto de control. El troyano es desplegado por un cargador a base de óxido.
«Los atacantes invitaron a las víctimas a través de anuncios para el trabajo falso, permitiendo a los atacantes ejecutar el código de PowerShell malicioso a través de la tecnología de phishing ClickFix», dijo la compañía de seguridad cibernética, explicando Purecoder mientras usan un conjunto rotativo de cuentas GitHub que alojan archivos que admiten la funcionalidad de Purerat.
Un análisis de GitHub Commits reveló que la actividad se llevó a cabo desde la zona horaria UTC+03: 00. Esto corresponde a muchos países, incluida Rusia, entre otras cosas.
El desarrollo surge a medida que el Equipo de Investigaciones de Doma -Domaols descubre la naturaleza interconectada de los paisajes de ransomware rusos, identifica el movimiento de los actores de amenazas entre los grupos, identifica el uso de herramientas como Anydesk y Rapid Assist, y sugiere una superposición operativa.
«La lealtad de la marca entre estos operadores es débil, y el capital humano parece ser un activo importante, no un stock de malware específico», dijo Doma -Domaintols. «Los operadores se adaptarán a las condiciones del mercado y se reorganizarán en respuesta a los derribos, y la confianza es importante. Estas personas eligen trabajar con personas que conocen, independientemente del nombre de la organización».
Source link
