DarkWatchman er navnet på en ny JavaScript-baseret fjernadgangstrojan (RAT). I øjeblikket, RAT'en bliver distribueret i naturen via ondsindede e-mails. Malwaren bruger domænegenereringsalgoritmen (DGA) teknik til at identificere dens kommando og kontrol (C2) infrastruktur. Den bruger også nye tricks til at opnå filløs vedholdenhed, aktivitet på systemet, og dynamiske køretidsfunktioner som selvopdatering og genkompilering, ifølge Prevailions Adversarial Counterintelligence Team.
DarkWatchman Remote Access Trojan: Tekniske Detaljer
DarkWatchman er i øjeblikket spredt i en ondsindet e-mail-kampagne. Dens distribution er afhængig af filløse malware-teknikker, hvor den bruger registreringsdatabasen til midlertidig og permanent opbevaring. Med andre ord, malwaren skriver ikke noget til disken, gør dets detektion næsten umuligt for de fleste sikkerhedssoftware. Forskerne har med succes reverse-engineeret DGA-mekanismerne, som malwaren bruger, udfører en dynamisk analyse samt undersøger dens webbaserede infrastruktur.
En af de e-mails, holdet analyserede, indeholdt følgende emnelinje – "Free storage expiration notification" - og blev designet til at se ud, som om det kom fra "ponyexpress[.]ru". E-mailens brødtekst var skrevet på russisk.
"I særdeleshed, det refererede til (ondsindet) vedhæftet fil, et udløb af gratis lagerplads, og hævdede at være fra Pony Express (dermed yderligere forstærkning af den falske afsenderadresse).
Men, en analyse af e-mail-headerne indikerer, at meddelelsen stammer fra headeren: “rentbikespb[.]ru" domæne som det fremgår af følgende overskrift: "Modtaget: fra rentbikespb[.]ru (smtp.rentbikespb[.]ru [45[.]156.27.245])"; hvilket betyder, at afsenderen sandsynligvis er forfalsket," PACTs rapport sagde.
Baseret på en detaljeret analyse, forskerne lavede en tidslinje for angrebet, som synes at være opstået i november 12:
Taget sammen, VirusTotal-indsendelserne af prøverne, selve prøverne, ZIP, der indeholder prøverne (observeret som en formidlingsmekanisme via e-mail vedhæftet fil), samt RAR-beholderen (ses senere i denne rapport under afsnittet Analyse) danne en tidslinje, der begynder på 12 November.
DarkWatchman RAT Kommer med en Keylogger
Det ser ud til, at DarkWatchman-trojankampagnen med fjernadgang er rettet mod "adskillige underdomæner, der kan indikere, at det er en virksomhedsstørrelse" i en spear-phishing-operation.
Endvidere, malwaren er parret med en C# keylogger. Det er bemærkelsesværdigt, at både RAT og keylogger er lette, indeholder en række bemærkelsesværdige avancerede funktioner, der adskiller den fra de fleste almindelige malware. For at omgå detektion, DarkWatchman er afhængig af nye tricks til dataoverførsel mellem moduler, samt at bruge LOLbins. Dets oprindelige mål ser ud til at være en russisktalende person eller organisation. Men, dets script er skrevet med engelske variabel- og funktionsnavne.
Afslutningsvis, det er sikkert at antage, at DarkWatchman er et indledende adgangsværktøj, der betjener ransomware-grupper eller tilknyttede selskaber.
Mere om Initial Network Access
A 2020 rapporten afslørede mere om prisen for den første netværksadgang at cyberkriminelle skal målrette organisationer.
Indledende netadgang er det, der får ondsindede hackere inde i en organisations netværk. Trusselsaktører, der sælger det (kendt som “mæglere med indledende adgang”) skabe en bro mellem opportunistiske kampagner og målrettede angribere. I de fleste tilfælde, disse er ransomware-operatører. KELA-forskere indekseres med succes 108 netværksadgangslister delt på populære hackingsfora sidste måned. Den samlede værdi af den krævede pris var over $500,000.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: