Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Обнаружен новый вариант ВПО Gootkit с обновлёнными инструментами (http://txgate.io:443/showthread.php?t=10683)

Artifact 03-18-2025 12:03 PM

Операторы Gootkit подстраиваются под изменения в киберпространстве и обновляют своё ПО.
https://www.securitylab.ru/upload/ib...cj2s91up82.jpg
Исследователи кибербезопасности из ИБ-компании Mandiant обнаружили , что операторы Gootkit, внесли «заметные изменения» в свой набор инструментов, добавив новые компоненты и средства обфускации в свои цепочки заражения. Mandiant отслеживает кластер угроз под псевдонимом UNC2565.
Gootkit (Gootloader) распространяется через скомпрометированные веб-сайты, на которые жертвы попадают при поиске деловых документов (соглашения, контракты и т.д.) с помощью метода отравления SEO (SEO poisoning).
Документы выдают себя за ZIP-архивы, содержащие вредоносный код JavaScript, который при запуске открывает путь для дополнительных полезных нагрузок – Cobalt Strike Beacon, FONELAUNCH и SNOWCONE.<ul><li>FONELAUNCH — это загрузчик на основе .NET, предназначенный для загрузки закодированных полезных нагрузок в память;</li>
</ul><ul><li>SNOWCONE — это загрузчик, который извлекает полезную нагрузку следующего этапа (обычно IcedID) через HTTP.</li>
</ul>https://www.securitylab.ru/upload/me...1npsipxqij.png
Цепочка атак GOOTLOADER.POWERSHELL
В то время как общие цели Gootkit остались неизменными, сама последовательность атак претерпела значительные изменения – теперь файл JavaScript в ZIP-архиве троянизирован и содержит в себе обфусцированный код JavaScript, который и выполняет вредоносное ПО.
Новый вариант, обнаруженный в ноябре 2022 года, отслеживается как GOOTLOADER.POWERSHELL. Стоит отметить, что обновленная цепочка заражения также была задокументирована Trend Micro ранее в этом месяце в ходе атак Gootkit на сектор здравоохранения Австралии.
Более того, авторы вредоносного ПО использовали метод избегания обнаружения, используя сокрытие кода в измененных версиях легитимных библиотек JavaScript – jQuery, Chroma.js и Underscore.js.
3 разных варианта Gootkit – FONELAUNCH (FONELAUNCH.FAX), FONELAUNCH.PHONE и FONELAUNCH.DIALTONE — используются UNC2565 с мая 2021 года для выполнения DLL-библиотек, двоичных NET-файлов и PE-файлов, что указывает на то, что арсенал вредоносных программ постоянно поддерживается и обновляется. Эти изменения свидетельствуют об активном развитии и росте возможностей UNC2565.


All times are GMT. The time now is 09:23 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.