Всем привет.

Стартовал последний набор на курсы в 2024 году:

→ Threat Intelligence, 9 ноября
→ Digital Forensics & Incident Response, 9 ноября
→ Vulnerability management, 16 ноября
→ Threat Hunting, 16 ноября


❗️Аналитик SOC, 18 января 2025 - сразу после Нового года, поэтому формируем группу уже сейчас.

💥Наконец-то приступили к разработке курса по Malware analysis.
Ориентировочная дата старта первого потока - февраль 2025.

A collection of CVEs weaponized by ransomware operators

https://github.com/BushidoUK/Ransomware-Vulnerability-Matrix

#technique

Privilege escalation through TPM Sniffing when BitLocker PIN is enabled

https://blog.scrt.ch/2024/10/28/privilege-escalation-through-tpm-sniffing-when-bitlocker-pin-is-enabled/

#technique

Exception Junction - Where All Exceptions Meet Their Handler

https://bruteratel.com/research/2024/10/20/Exception-Junction/

#ParsedReport #CompletenessHigh
29-10-2024

Katz and Mouse Game: MaaS Infostealers Adapt to Patched ChromeDefenses. Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses

https://www.elastic.co/security-labs/katz-and-mouse-game

Report completeness: High

Threats:
Stealc
Vidar_stealer
Meta_stealer
Phemedrone
Xenostealer
Lumma_stealer
Chromekatz_tool
Seth_locker
Raccoon_stealer
Cookiemonster
Process_injection_technique

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 12
Hash: 9

Soft:
Chrome, google chrome, Chromium, UNIX, Telegram

Algorithms:
xor, sha256, base64, zip

Win API:
ReadProcessMemory, OpenDesktopA, CreateDesktopA, CreateToolhelp32Snapshot, CreateProcessW, NtReadVirtualMemory, CoCreateInstance

Win Services:
GoogleChromeElevationService

Platforms:
x86

YARA: Found

Links:
have more...
https://github.com/elastic/protections-artifacts/blob/da25aa57994ee265583227dbe6fe02261b65415c/behavior/rules/windows/credential\_access\_access\_to\_browser\_credentials\_from\_suspicious\_memory.toml#L8
https://github.com/elastic/protections-artifacts/blob/da25aa57994ee265583227dbe6fe02261b65415c/behavior/rules/windows/credential\_access\_web\_browser\_credential\_access\_via\_unusual\_process.toml#L8
https://github.com/elastic/protections-artifacts/blob/da25aa57994ee265583227dbe6fe02261b65415c/behavior/rules/windows/credential\_access\_web\_browser\_credential\_access\_via\_unsigned\_process.toml#L8

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, dump: 2, code: 19, chats: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - реакция разработчиков вредоносных программ и киберпреступников на новую функцию шифрования Google в Chrome 127, связанную с приложениями, которая направлена на усиление защиты файлов cookie в Windows. Злоумышленники адаптируют свою тактику обхода этой защиты, чтобы продолжать красть конфиденциальную информацию из браузеров Chrome, что побуждает защитников проявлять бдительность и отслеживать методы, используемые инфокрадами. В тексте также рассказывается о конкретных инфокрадах и их методах обхода мер безопасности Chrome, подчеркивается важность понимания потенциальных угроз и усиления защиты от злоумышленников. Elastic Security Labs использует платформу MITRE ATT&CK для документирования тактики и процедур, используемых при угрозах корпоративным сетям.
-----

Elastic Security Labs отслеживает реакцию экосистемы infostealer на новую функцию шифрования Google, привязанную к приложениям, которая была реализована в Chrome 127 для улучшения защиты файлов cookie в Windows. Это повышение безопасности вынудило разработчиков вредоносных программ адаптироваться и найти способы обойти эту защиту, чтобы продолжать эффективно красть конфиденциальную информацию из браузеров Chrome. Различные похитители информации внедрили различные методы обхода шифрования, привязанного к приложению, такие как использование вредоносных средств безопасности, таких как ChromeKatz, использование COM для взаимодействия со службами Chrome для расшифровки и использование функций удаленной отладки в Chrome.

Киберпреступники используют инфокрадов для кражи токенов аутентификации, что позволяет им выдавать себя за пользователей и потенциально совершать вредоносные действия, такие как захват учетных записей, кража личных или финансовых данных или перевод финансовых активов. В результате защитникам крайне важно проявлять бдительность и активно отслеживать методы, используемые инфокрадами для обхода защиты Chrome от файлов cookie в Windows.

Устаревшие версии Google Chrome для Windows использовали API защиты данных (DPAPI) для шифрования файлов cookie, но этот метод содержал уязвимости, которые могли быть использованы вредоносным программным обеспечением. С внедрением шифрования, привязанного к приложениям, в Chrome 127 Google стремился усилить защиту файлов cookie путем шифрования файлов данных и использования службы, работающей как SYSTEM, для проверки попыток дешифрования. Хотя эта схема шифрования не является надежной, она побудила авторов вредоносных программ использовать более откровенно вредоносную тактику, что облегчает их идентификацию и реагирование на нее.

Было замечено, что некоторые инфокрады, такие как STEALC/VIDAR, METASTEALER, PHEMEDRONE и XENOSTEALER, используют методы обхода мер защиты файлов cookie Google. STEALC/VIDAR разработали новый код для обхода шифрования, привязанного к приложениям, в то время как METASTEALER улучшил свои возможности по извлечению конфиденциальной информации, несмотря на изменения в системе безопасности Chrome. PHEMEDRONE использует удаленную отладку в Chrome для извлечения файлов cookie, а XENOSTEALER расшифровывает файлы cookie в процессе Chrome, запуская экземпляр Chrome.exe и вводя код. Кроме того, LUMMA внедрила новый метод обхода защиты Chrome от файлов cookie, используя методы, аналогичные ChromeKatz, что позволяет красть данные файлов cookie из последней версии Google Chrome.

Elastic Security Labs использует платформу MITRE ATT&CK для документирования тактики, методов и процедур, используемых при угрозах корпоративным сетям. Анализируя поведение и тактику инфокрадов в ответ на меры безопасности, такие как шифрование с привязкой к приложениям Google, организации могут лучше понимать потенциальные угрозы и усиливать свою защиту от злоумышленников, стремящихся украсть конфиденциальную информацию из браузеров Chrome в Windows.

#ParsedReport #CompletenessLow
30-10-2024

Mishing in Motion: Uncovering the Evolving Functionality of FakeCall Malware

https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware

Report completeness: Low

Threats:
Fakecall
Qshing_technique

Industry:
Financial

TTPs:
Tactics: 9
Technics: 14

IOCs:
File: 5

Soft:
Android

Functions:
onAccessibilityEvent, onCreate, getResultData, setResultData

Languages:
java

Links:
https://github.com/ant-media/LibRtmp-Client-for-Android
https://github.com/Zimperium/IOC/tree/master/2024-10-FakeCall

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание атаки FakeCall Vishing, изощренной формы голосового фишинга, которая нацелена на мобильные устройства путем обмана жертв с целью раскрытия конфиденциальной информации с помощью мошеннических телефонных звонков или голосовых сообщений. Это относится к более широкой категории "фишинга", которая включает в себя различные методы фишинга, нацеленные на мобильные устройства. Атака включает установку вредоносного ПО на устройства Android, что приводит к получению контроля над устройством, перехвату звонков и принуждению пользователей набирать поддельные номера, контролируемые злоумышленником. Недавно обнаруженные варианты FakeCall сильно запутаны, что затрудняет их обнаружение, и исследовательская группа Zimperium выявила приложения и файлы, связанные с кампанией.
-----

Фишинговая атака FakeCall - это сложная форма голосового фишинга (Vishing), которая нацелена на мобильные устройства. Она включает в себя мошеннические телефонные звонки или голосовые сообщения, чтобы обманом заставить жертв раскрыть конфиденциальную информацию, такую как учетные данные для входа в систему и финансовые данные. Эта атака подпадает под более широкое понятие "фишинг", которое включает в себя различные методы фишинга, нацеленные на мобильные устройства, такие как смайлинг (SMS-фишинг) и квишинг (QR-код-фишинг).

Когда жертвы загружают вредоносное ПО FakeCall на свои Android-устройства с помощью фишинговой атаки, оно устанавливает вредоносную полезную нагрузку, которая взаимодействует с сервером управления (C2). Вредоносная программа получает контроль над устройством, перехватывает звонки и обманом заставляет пользователей набирать мошеннические номера, контролируемые злоумышленником.

Недавно обнаруженные варианты FakeCall сильно запутаны, что затрудняет их обнаружение. Анализ показал, что вредоносная программа произошла от более старой версии под названием com.secure.assistant, при этом некоторые вредоносные функции были перенесены в машинный код. Возможности вредоносной программы включают мониторинг состояния Bluetooth и экрана, получение контроля над пользовательским интерфейсом, перехват вызовов и автоматическое предоставление разрешений.

Вредоносная программа включает в себя компонент, который отслеживает изменения состояния Bluetooth, другой компонент, который отслеживает состояние экрана, и службу, унаследованную от службы специальных возможностей Android, для сбора информации об экране. Она может отслеживать активность дозвона, автоматически предоставлять разрешения и включать удаленное управление злоумышленниками для имитации взаимодействия пользователя с устройством.

Вредоносная программа предлагает пользователям установить ее в качестве обработчика вызовов по умолчанию, что позволяет ей управлять входящими и исходящими вызовами. Она может изменять набранные номера, перехватывать вызовы и перенаправлять их на мошеннические номера, контролируемые злоумышленником. Вредоносная программа отображает поддельный интерфейс, имитирующий законные приложения, для обмана пользователей во время этих взаимодействий.

Исследовательская группа Zimperium выявила 13 приложений и 2 dex-файла, связанных с новой кампанией FakeCall. Пользователи Zimperium Mobile Threat Defense и Runtime Protection SDK защищены от поддельных вызовов и их разновидностей благодаря встроенному в эти решения механизму динамического обнаружения на устройстве.

#ParsedReport #CompletenessLow
30-10-2024

Writing a BugSleep C2 server and detecting its traffic with Snort. Key findings

https://blog.talosintelligence.com/writing-a-bugsleep-c2-server

Report completeness: Low

Threats:
Muddyrot
Netcat_tool
Windbg_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1059, T1027

IOCs:
Hash: 5
IP: 3
File: 2

Functions:
ReadSocket, BugSleep, GetFile, SendSocket

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ нового инструмента удаленного доступа под названием BugSleep, с акцентом на его пользовательский протокол управления (C2), методы обфускации файлов, ключевые функции, методы коммуникации, возможности обнаружения, моделирование взаимодействий и проблемы при обнаружении специфического командного трафика. Анализ демонстрирует обратное проектирование протокола BugSleep, разработку функционального сервера C2 и определение структуры трафика с помощью таких инструментов, как Snort и Wireshark.
-----

В июне 2024 года исследователи в области безопасности провели анализ нового инструмента удаленного доступа (RAT) под названием "MuddyRot", также известного как "BugSleep". Этот имплантат предоставляет операторам функции обратной оболочки и ввода-вывода файлов (I/O) на конечной точке жертвы через пользовательский протокол управления (C2). Анализ, подробно описанный в сообщении в блоге, направлен на демонстрацию процесса обратного проектирования протокола BugSleep, разработку функционального сервера C2 и идентификацию трафика с помощью Snort.

BugSleep использует уникальный протокол C2 через обычные сокеты TCP и использует различные методы обфускации файлов, чтобы избежать обнаружения. Он предлагает такие возможности, как функциональность обратной оболочки, операции ввода-вывода файлов и сохранение в целевой системе. Анализ фокусируется на конкретном образце для демонстрационных целей.

Протокол C2 состоит из ключевых функций, таких как SendSocket и ReadSocket, которые обрабатывают шифрование полезной нагрузки и взаимодействуют с функциями API отправки и получения. Анализ также выявил критически важные функции, такие как C2Loop и CommandHandler, отвечающие за установление сокетных соединений, отправку маяков и выполнение команд с сервера C2. Имплантат инициирует обмен данными, отправляя сигнал в формате ComputerName/Имя пользователя на сервер C2 с последующей обработкой команд в формате IntegerMsg.

Связь между имплантатом и сервером C2 осуществляется через обычные TCP-сокеты, видимые с помощью прослушивателя Netcat и анализа Wireshark. Расшифровка сообщения beacon продемонстрирована с использованием сценариев на Python. Понимание структуры протокола имеет решающее значение для создания сервера C2, который может эффективно эмулировать разговоры между BugSleep и операторами.

Разработка сервера C2 позволяет моделировать взаимодействие с экземплярами BugSleep, что помогает в проверке возможностей обнаружения. В блоге подчеркивается важность обнаружения сообщения beacon, которое может нарушить связь и изолировать экземпляры BugSleep. Однако реализация правил обнаружения, основанных на статических шаблонах, таких как длина сообщения радиомаяка, может привести к ложным срабатываниям.

В анализе описан процесс обнаружения и перехвата трафика, передаваемого через BugSleep, с особым упором на шаблоны трафика, связанные с портом 443, и конкретные смещения данных. В блоге признается потенциальная возможность изменения протокола в будущих вариантах BugSleep, подчеркивается необходимость постоянного мониторинга и адаптации механизмов обнаружения.

Подробно обсуждаются некоторые команды, реализованные в BugSleep, такие как Ping, PutFile, GetFile и функциональность reverse shell. Сложность выполнения таких команд, как reverse shell, заключается в многократном взаимодействии через сокет, включая запуск процесса и передачу данных между процессами.

Кроме того, анализ затрагивает проблемы, с которыми приходится сталкиваться при обнаружении трафика определенных команд, такие как необходимость в инструментах отладки, таких как модуль трассировки Snort 3. В блоге представлена информация о решении проблем обнаружения и оптимизации вычисления правил для различных типов команд в рамках протокола BugSleep.

#ParsedReport #CompletenessHigh
29-10-2024

Inside the Open Directory of the "You Dun" Threat Group

https://thedfirreport.com/2024/10/28/inside-the-open-directory-of-the-you-dun-threat-group

Report completeness: High

Actors/Campaigns:
You_dun

Threats:
Cobalt_strike
Opendir
Weblogicscan_tool
Vulmap_tool
Viper
Taowu_tool
Ladon_tool
Lockbit
Metasploit_tool
Sliver_c2_tool
Sqlmap_tool
Dirsearch_tool
Browserghost_tool
Efspotato_tool
Juicypotato_tool
Lazagne_tool
Minidump_tool
Safetykatz_tool
Seatbelt_tool
Sessiongopher_tool
Sharpersist_tool
Sharphide_tool
Bloodhound_tool
Sharpshares_tool
Sweetpotato_tool
Frpc_tool
Fscan_tool
Printspoofer_tool

Industry:
Government, Healthcare, Logistic, Telco, Education

Geo:
Iranian, Korea, Chinese, Korean, Thailand, Iran, China, Taiwan

CVEs:
CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (1903, 1909)
- microsoft windows server 2016 (1903, 1909)

CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.18967)
- microsoft windows 10 1607 (<10.0.14393.4467)
- microsoft windows 10 1809 (<10.0.17763.1999)
- microsoft windows 10 1909 (<10.0.18363.1621)
- microsoft windows 10 2004 (<10.0.19041.1052)
have more...
CVE-2021-25003 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wptaskforce wpcargo track & trace (<6.9.0)

CVE-2016-0051 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (-, 1511)
- microsoft windows 7 (*)
- microsoft windows 8.1 (*)
- microsoft windows rt 8.1 (*)
- microsoft windows server 2008 (*, r2)
have more...
CVE-2014-4113 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (-)
- microsoft windows 8 (-)
- microsoft windows 8.1 (-)
- microsoft windows rt (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2015-1701 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 2003 server (-, r2)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-)
- microsoft windows vista (-)


TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 4
IP: 9
Path: 2
Hash: 178
Url: 4

Soft:
Telegram, Linux, docker, WebLogic, WordPress, Redis, curl, Twitter, WhatsApp

Algorithms:
sha256, md5, sha1, zip

Win API:
CreateThread, SetThreadContext, CreateRemoteThread, RtlCreateUserThread

Languages:
php, python

Platforms:
apple, intel, x86, x64

Links:
https://github.com/cdk-team/CDK
https://github.com/liamg/traitor
https://github.com/rabbitmask/WeblogicScan
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что китайскоязычная хакерская группа, известная как "You Dun", занимается масштабной вредоносной деятельностью, такой как разведка, использование веб-ресурсов, уязвимых серверов, атаки с использованием SQL-инъекций и программы-вымогатели, нацеленные на организации в различных странах. Злоумышленники использовали ряд инструментов и платформ, включая WebLogicScan, Vulmap, Xray, Cobalt Strike, Viper C2 и LockBit, для проведения своих операций, демонстрируя высокий уровень сложности и организационных возможностей. Анализ действий злоумышленника выявил закономерность постоянных и целенаправленных кибератак в разных регионах.
-----

OpenDir, обнаруженный командой DFIR Report Threat Intel, выявил наличие инструментария для создания угроз на китайском языке и подробную историю вредоносных действий. Этот злоумышленник, известный как "You Dun", проводил масштабные операции по сканированию и использованию данных, нацеленные на организации в таких странах, как Южная Корея, Китай, Таиланд, Тайвань и Иран. Для сканирования и использования данных использовались такие инструменты, как WebLogicScan, Vulmap и Xray. Кроме того, злоумышленник использовал платформу Viper C2 framework, Cobalt Strike kit с расширениями TaoWu и Ladon и просочившийся в сеть LockBit 3 builder для создания пользовательских полезных программ-вымогателей.

В ходе анализа были выявлены различные действия злоумышленника, включая разведку, использование веб-ресурсов и уязвимых серверов с использованием таких инструментов, как WebLogicScan, Vulmap и Xray. Атаки с использованием SQL-инъекций проводились с использованием SQLmap, в частности, на веб-сайты, на которых установлено программное обеспечение Zhiyuan OA. Злоумышленник также использовал файлы Cobalt Strike и Viper framework, уделив особое внимание архиву сервера Cobalt Strike team, содержащему расширения TaoWu и Ladon. Расследование показало, что злоумышленник проводил активные операции командования и контроля с 18 января по 10 февраля 2024 года, используя кластер IP-адресов в качестве прокси-серверов.

Дальнейший анализ действий привел к обнаружению связи злоумышленника с группой "You Dun" и их участия в различных вредоносных действиях, выходящих за рамки тестирования на проникновение, включая незаконную продажу данных, DDoS-атаки и операции с программами-вымогателями. Злоумышленник использовал инструменты WebLogicScan, Vulmap и Xray для сканирования уязвимостей, их использования и рекогносцировки, нацеливаясь на серверы в разных странах, уделяя особое внимание Китаю, Южной Корее и Ирану. Примечательно, что злоумышленник использовал различные инструменты и методы, включая платформу Viper C2 framework для действий после использования на скомпрометированных хостах.

Действия злоумышленника распространялись на компрометацию веб-сайтов с использованием SQLmap, использование уязвимостей в экземплярах Zhiyuan OA и развертывание Cobalt Strike с расширениями TaoWu и Ladon для расширенных действий по вторжению. Наличие разработчика программ-вымогателей LockBit и связанные с ними действия указывают на более широкий спектр вредоносных операций, предпринимаемых злоумышленником. Использование Viper C2 для последующей эксплуатации, включая использование Metasploit для выполнения команд и загрузки файлов, подчеркнуло сложный характер операций злоумышленника.

Анализ opendir позволил получить представление об инфраструктуре и инструментах, используемых злоумышленниками, а также об их операционных схемах и методологиях. Связанные с этим действия, включая операции по командованию и контролю, эксплуатации и вымогательству, указывали на наличие высокоорганизованной и стойкой хакерской группы, обладающей возможностями для проведения целенаправленных кибератак в различных географических регионах.

#ParsedReport #CompletenessLow
29-10-2024

New WarmCookie Backdoor Hides in Fake Updates Across France

https://www.secureblink.com/cyber-security-news/new-warm-cookie-backdoor-hides-in-fake-updates-across-france

Report completeness: Low

Threats:
Warmcookie
Socgholish_loader

Geo:
France, French

ChatGPT TTPs:
do not use without manual check
T1204, T1071, T1059, T1082, T1012, T1113, T1105, T1497

IOCs:
Domain: 2

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Windows Registry, Chrome

Languages:
javascript, java, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и распространении во Франции новой вредоносной программы-бэкдора под названием "WarmCookie", распространяемой хакерской группой SocGolish посредством атак FakeUpdate с использованием поддельных уведомлений об обновлениях браузера. Это сложное вредоносное ПО позволяет злоумышленникам удаленно управлять системами, собирать конфиденциальные данные и выполнять различные операции с расширенными возможностями, чтобы избежать обнаружения, что создает значительный риск для безопасности данных. Исследователи подчеркивают необходимость бдительности и осведомленности о меняющихся тактиках вредоносного ПО для защиты от таких целенаправленных и постоянных угроз.
-----

В тексте содержится подробный обзор новой вредоносной программы, известной как "WarmCookie", которая распространяется во Франции с помощью поддельных обновлений браузера, представляя значительную угрозу безопасности данных. Это вредоносное ПО с бэкдором распространяется хакерской группой SocGolish, использующей стратегию под названием "FakeUpdate", при которой на взломанных веб-сайтах отображаются поддельные уведомления об обновлениях для популярных приложений, таких как Google Chrome, Mozilla Firefox, Microsoft Edge и Java, чтобы обманом заставить пользователей загрузить вредоносное ПО.

Первоначально обнаруженный компанией eSentire, занимающейся кибербезопасностью, в середине 2023 года, WarmCookie представляет собой сложный бэкдор с разнообразными возможностями, предназначенный для систем Windows. Традиционно она распространялась с помощью фишинговых электронных писем, но теперь перешла к атакам с использованием поддельных обновлений, чтобы расширить свой охват. После установки в систему WarmCookie позволяет злоумышленникам удаленно управлять системой, находить и извлекать конфиденциальные данные, собирать подробную системную информацию, выполнять команды, делать скриншоты и внедрять дополнительные вредоносные программы.

Вредоносная программа была дополнена новыми функциями, которые затрудняют ее обнаружение и удаление. Эти обновления включают в себя возможность хранить и запускать библиотеки динамической компоновки (DLL) из временных каталогов, передавать и запускать EXE-файлы и PowerShell для удаленного управления, а также проводить проверки на защиту от виртуальных машин, чтобы избежать обнаружения в виртуализированных средах. Эти усовершенствования демонстрируют эволюционную природу WarmCookie, делая его более устойчивым и опасным при целенаправленных атаках.

Процесс заражения системы WarmCookie заключается в том, что пользователи нажимают на поддельные запросы об обновлении, которые запускают загрузку вредоносного ПО, замаскированного под законный установщик. Затем вредоносная программа выполняет проверку на защиту от виртуальных машин, отправляет системную информацию на сервер управления и ожидает дальнейших инструкций, не предупреждая пользователя о своем присутствии. Такая скрытность и сложность затрудняют пользователям самостоятельное обнаружение и устранение угрозы.

Кампания SocGolish, ориентированная на французских пользователей, укрепляет доверие пользователей к таким популярным брендам, как Chrome и Java, подчеркивая необходимость бдительности отдельных лиц и организаций. Понимание и постоянное информирование об изменяющихся тактиках вредоносных программ, таких как FakeUpdate, имеет решающее значение для защиты от таких угроз, как WarmCookie, которые продолжают развиваться, предоставляя новые возможности для более целенаправленных и постоянных атак в будущем.