Huis > Cyber ​​Nieuws > Nieuwe DarkWatchman RAT-trojan gebruikt voor implementatie van ransomware
CYBER NEWS

Nieuwe DarkWatchman RAT-trojan gebruikt voor implementatie van ransomware

DarkWatchman-Trojan-sensorstechforum.jpg
DarkWatchman is de naam van een nieuwe op JavaScript gebaseerde trojan voor externe toegang (RAT). Momenteel, de RAT wordt in het wild verspreid via kwaadaardige e-mails. De malware gebruikt het algoritme voor het genereren van domeinen (DGA) techniek om de Command and Control te identificeren (C2) infrastructuur. Het gebruikt ook nieuwe trucs om bestandloze persistentie te bereiken, activiteit op het systeem, en dynamische runtime-mogelijkheden zoals zelf-updaten en opnieuw compileren, volgens het Adversarial Counterintelligence Team van Prevailion.




DarkWatchman Trojan voor externe toegang: Technische Details

DarkWatchman wordt momenteel verspreid in een kwaadaardige e-mailcampagne. De distributie ervan is gebaseerd op bestandsloze malwaretechnieken, waar het het register gebruikt voor tijdelijke en permanente opslag. Met andere woorden, de malware schrijft niets naar schijf, waardoor detectie bijna onmogelijk is voor de meeste beveiligingssoftware. De onderzoekers hebben met succes de DGA-mechanismen die de malware gebruikt, reverse-engineered, het uitvoeren van een dynamische analyse en het onderzoeken van de webgebaseerde infrastructuur.

Een van de e-mails die het team analyseerde, bevatte de volgende onderwerpregel: – "Melding van verlopen van gratis opslag" - en is ontworpen om te verschijnen alsof het afkomstig is van "ponyexpress[.]ru". De hoofdtekst van de e-mail is in het Russisch geschreven.

"Opmerkelijk, het verwees naar de (kwaadaardig) gehechtheid, een vervaldatum van gratis opslag, en beweerde van Pony Express te zijn (waardoor het vervalste afzenderadres verder wordt versterkt).
Echter, een analyse van de e-mailheaders geeft aan dat het bericht afkomstig is uit de header: “rentbikespb[.]ru" domein zoals blijkt uit de volgende header: "Hebben ontvangen: van rentbikespb[.]ru (smtp.rentbikespb[.]ru [45[.]156.27.245])"; wat betekent dat de afzender waarschijnlijk is vervalst," PACT's rapport zei.

Op basis van een gedetailleerde analyse, hebben de onderzoekers een tijdlijn van de aanval gemaakt, die lijkt te zijn ontstaan ​​in november 12:

Bij elkaar genomen, de VirusTotal-inzendingen van de monsters, de monsters zelf, de ZIP met de voorbeelden (waargenomen als een verspreidingsmechanisme via e-mailbijlage), evenals de RAR-container (later in dit rapport te zien onder de sectie Analyse) een tijdlijn vormen die begint op 12 November.

DarkWatchman RAT wordt geleverd met een keylogger

Het lijkt erop dat de trojan-campagne voor externe toegang van DarkWatchman zich richt op "talloze subdomeinen die erop kunnen wijzen dat het een organisatie van grote omvang is" in een spear-phishing-operatie.

Bovendien, de malware is gekoppeld aan een C# keylogger. Het is opmerkelijk dat zowel de RAT als de keylogger lichtgewicht zijn, met een aantal opmerkelijke geavanceerde functies die het onderscheiden van de meest voorkomende malware. Om detectie te omzeilen, DarkWatchman vertrouwt op nieuwe trucs voor gegevensoverdracht tussen modules, evenals het gebruik van LOLbins. Het eerste doelwit lijkt een Russisch sprekende persoon of organisatie te zijn. Echter, het script is geschreven met Engelse variabele- en functienamen.

Tenslotte, het is veilig om aan te nemen dat DarkWatchman een eerste toegangstool is die ransomware-groepen of gelieerde ondernemingen bedient.




Meer over initiële netwerktoegang

Een 2020 rapport onthuld meer over de prijs van initiële netwerktoegang die cybercriminelen nodig hebben om organisaties te targeten.

Initiële netwerktoegang is wat kwaadwillende hackers binnen het netwerk van een organisatie krijgt. Bedreigende acteurs die het verkopen (bekend als "initial access brokers") een brug slaan tussen opportunistische campagnes en gerichte aanvallers. Meestal, dit zijn ransomware-operators. KELA-onderzoekers hebben met succes geïndexeerd 108 netwerktoegangslijsten die vorige maand op populaire hackforums zijn gedeeld. De totale waarde van de gevraagde prijs was hoger $500,000.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...