Kifinomult malware-kampány cseh tisztviselők ellen NATO-témájú csalikkal
A Seqrite Labs APT-csapata nemrégiben egy Csehországot célzó kampányt azonosított. A kampány kormányzati és katonai tisztviselőket céloz meg több csalival, amelyek a NATO és a Cseh Köztársaság közötti kapcsolatra irányulnak. A teljes malware ökoszisztéma részt vesz ebben a kampányban, kezdve a betöltőtől kezdve a HavocC2 és Freeze néven ismert Command-and-Control keretrendszerig, amelyet Rustban programoztak. A Seqrite Labs blogbejegyzése az elemzésük során tapasztalt kampány kifinomultságát és technikai részleteit tárja fel. Megvizsgálja a kampány különböző szakaszait, kezdve a csali dokumentumokkal való mélyre merüléssel, majd a rosszindulatú batch és LNK hasznos terhelésekkel, amelyek tovább segítik a Rust betöltőt a rosszindulatú DLL befecskendezésében.
2024. augusztus 4-én a Seqrite Labs csapata talált egy rosszindulatú ZIP-fájlt, amely különböző forrásokban, például a VirusTotalon bukkant fel, ahol előzetes fertőzési forrásként használták. A fájl különböző PDF és LNK fájlkiterjesztésű csalikat tartalmazott. Ugyanezt a fájlt más fenyegetéskutatók másnap megtalálták. A ZIP tartalmazott egy rosszindulatú LNK fájlt „The importance of and outlook for the Czech Republic in NATO[.]pdf[.]lnk” néven, amely egy másik rosszindulatú „AdobeAcrobatReader[.]bat” nevű batch script futtatásáért felelős. Ez felelős a „Postup_zmeny_hesla_z_IMO[.]pdf” csali dokumentum létrehozásáért, majd a „NatoDoc[.]PDF” nevű álcázott PDF-fájl átnevezéséért egy hordozható futtathatóvá. Ez a végrehajtáskor az indítómappába másolódik, ami a rosszindulatú hasznos teher fennmaradásának mechanizmusaként működik.
