Įsilaužėliai susisiekė su finansų ir sveikatos priežiūros organizacijų darbuotojais per „Microsoft Teams“, kad apgaule suteiktų nuotolinę prieigą per „Quick Assist“ ir įdiegtų naują kenkėjišką programą, pavadintą „A0Backdoor“.
Užpuolikas remiasi socialine inžinerija, kad įgytų darbuotojo pasitikėjimą, pirmiausia užtvindydamas gautuosius šlamštu, o tada susisiekdamas su jais per Teams, apsimesdamas įmonės IT darbuotojais ir siūlydamas pagalbą su nepageidaujamais pranešimais.
Kad gautų prieigą prie tikslinio įrenginio, grėsmės veikėjas nurodo vartotojui pradėti nuotolinę greitosios pagalbos seansą, kuri naudojama kenkėjiškam įrankių rinkiniui, apimančiam skaitmeniniu būdu pasirašytus MSI diegimo įrenginius, priglobtus asmeninėje Microsoft debesies saugyklos paskyroje, įdiegti.
Kibernetinio saugumo bendrovės „BlueVoyant“ tyrėjų teigimu, kenkėjiški MSI failai yra „Microsoft Teams“ komponentai ir „CrossDeviceService“, teisėtas „Windows“ įrankis, kurį naudoja „Phone Link“ programėlė.
Šaltinis: BlueVoyant
Naudodamas DLL šalutinio įkėlimo metodą su teisėtais Microsoft dvejetainiais failais, užpuolikas diegia kenkėjišką biblioteką (hostfxr.dll), kurioje yra suspaustų arba užšifruotų duomenų. Įkėlus į atmintį, biblioteka iššifruoja duomenis į apvalkalo kodą ir perkelia į jį vykdymą.
Tyrėjai teigia, kad kenkėjiška biblioteka taip pat naudoja funkciją CreateThread, kad išvengtų analizės. „BlueVoyant“ paaiškina, kad dėl per didelio gijų kūrimo gali sugesti derinimo priemonė, tačiau tai neturi didelės įtakos normaliai vykdant.
Apvalkalo kodas atlieka smėlio dėžės aptikimą ir generuoja iš SHA-256 gautą raktą, kurį naudoja A0Backdoor išskleisti, kuri yra užšifruota naudojant AES algoritmą.
Šaltinis: BlueVoyant
Kenkėjiška programa persikelia į naują atminties sritį, iššifruoja savo pagrindines procedūras ir remiasi „Windows“ API iškvietimais (pvz., „DeviceIoControl“, „GetUserNameExW“ ir „GetComputerNameW“), kad surinktų informaciją apie pagrindinį kompiuterį ir atspaudų atspaudus.
Ryšys su komandų ir valdymo įtaisu (C2) yra paslėptas DNS sraute, o kenkėjiška programa siunčia DNS MX užklausas su užkoduotais metaduomenimis didelės entropijos padomeniuose viešiesiems rekursiniams sprendėjams. DNS serveriai atsako su MX įrašais, kuriuose yra užkoduotų komandų duomenų.
Šaltinis: BlueVoyant
„Kenkėjiška programa ištraukia ir dekoduoja kairėje esančią etiketę, kad atkurtų komandų / konfigūracijos duomenis, tada atitinkamai imasi veiksmų“, – aiškina BlueVoyant.
„DNS MX įrašų naudojimas padeda susimaišyti srautui ir išvengti valdiklių, pritaikytų aptikti TXT pagrįstą DNS tuneliavimą, kuris gali būti dažniau stebimas.
„BlueVoyant“ teigia, kad du šios kampanijos tikslai yra finansų įstaiga Kanadoje ir pasaulinė sveikatos priežiūros organizacija.
Tyrėjai su vidutiniu ar dideliu pasitikėjimu vertina, kad kampanija yra taktikos, metodų ir procedūrų, susijusių su BlackBasta išpirkos reikalaujančių programų gauja, evoliucija, kuri išnyko po to, kai buvo nutekinti vidiniai operacijos pokalbių žurnalai.
Nors yra daug sutapimų, „BlueVoyant“ pažymi, kad pasirašytų MSI ir kenkėjiškų DLL naudojimas, A0Backdoor naudingoji apkrova ir DNS MX pagrįsto C2 ryšio naudojimas yra nauji elementai.
Kenkėjiškos programos tampa išmanesnės. „Red Report 2026“ atskleidžia, kaip naujos grėsmės naudoja matematiką, kad aptiktų smėlio dėžes ir pasislėptų matomoje vietoje.
Atsisiųskite mūsų 1,1 milijono kenkėjiškų pavyzdžių analizę, kad sužinotumėte 10 geriausių metodų ir sužinotumėte, ar jūsų saugos paketas yra apakintas.
