Az Unfurling Hemlock “Malware Cluster Bomb” kampány elemzése
Az Unfurling Hemlock néven ismert fenyegető szereplő kiterjedt kibertámadásokat hajtott végre úgy, hogy a célrendszereket egyszerre akár tíz különböző kártevővel is megfertőzte. Ez a “malware cluster bomb”-ként leírt megközelítés egyetlen malware-mintát használ ki arra, hogy további rosszindulatú fájlokat terjesszen a megtámadott gépeken. A rosszindulatú szoftverek típusai között információlopók, botnetek és hátsó ajtók vannak, amelyek jelentős kockázatot jelentenek az érintett rendszerekre.
Az Outpost24 KrakenLabs által felfedezett támadások legalább 2023 februárja óta tartanak, és egy egyedi terjesztési módszert használnak. A folyamat a “WEXTRACT.EXE” nevű fájl végrehajtásával kezdődik, amely rosszindulatú e-maileken vagy malware betöltőkön keresztül érkezik. Ez a fájl egymásba ágyazott tömörített kabinetfájlokat tartalmaz, minden egyes kicsomagolási lépés egy másik kártevő változatot dob le. A támadások jellemzően négy-hét szakaszon mennek keresztül, végül a legfrissebben kicsomagolt rosszindulatú programot hajtják végre elsőként. A támadások több mint fele az Egyesült Államokban található rendszereket célozta meg, de jelentős aktivitás tapasztalható Németországban, Oroszországban, Törökországban, Indiában és Kanadában is.
Multi-Malware stratégia és hatása
Az Unfurling Hemlock stratégiája, amely többféle rosszindulatú szoftver hasznos terhelését telepíti, a felderítés kockázatának növelése ellenére a perzisztencia és a pénzszerzési lehetőségek fokozását célozza. A támadások során megfigyelt nevezetes rosszindulatú szoftverek közé tartozik többek között a Redline, a RisePro, a Mystic Stealer, az Amadey és a SmokeLoader. Ezek a rosszindulatú szoftverek az érzékeny információk ellopására, a biztonsági funkciók letiltására és annak biztosítására összpontosítanak, hogy a fenyegető szereplő megtartsa az ellenőrzést a megtámadott rendszerek felett.
A KrakenLabs elemzése szerint az Unfurling Hemlock valószínűleg egy kelet-európai országból származik, amit az egyes mintákban található orosz nyelvezet és a kiberbűnözőbarát tárhelyszolgáltatás használata jelez. A felhasználóknak azt tanácsolják, hogy a letöltött fájlok futtatás előtti átvizsgálásához használjanak naprakész vírusirtó eszközöket, hogy csökkentsék az ilyen jól dokumentált és a szignatúrákról ismert rosszindulatú programok által okozott fertőzés kockázatát.
(forrás)
(forrás)
