تم العثور على ما يصل إلى ثلاث حملات متباينة ولكنها ذات صلة بين مارس ويونيو 2022 لتقديم مجموعة متنوعة من البرامج الضارة ، بما في ذلك متسللون ModernLoader و RedLine Stealer وعمال تعدين العملات المشفرة على الأنظمة المخترقة.
“يستخدم الممثلون ملفات PowerShell و .NET و HTA و VBS للانتشار عبر شبكة مستهدفة. مما يؤدي في النهاية إلى إسقاط أجزاء أخرى من البرامج الضارة. مثل SystemBC trojan و DCRat. لتمكين مراحل مختلفة من عملياتهم ،” الباحث في Cisco Talos Vanja قال Svajcer في تقرير مشترك مع The Hacker News.
تم تصميم الغرسة الخبيثة المعنية. ModernLoader. لتزويد المهاجمين بالتحكم عن بعد في جهاز الضحية. مما يمكّن الخصوم من نشر برامج ضارة إضافية. أو سرقة معلومات حساسة. أو حتى إيقاع الكمبيوتر في شبكة الروبوتات.
عزت شركة Cisco Talos الإصابات إلى جهة تهديد غير موثقة سابقًا ولكنها تتحدث الروسية. مشيرة إلى استخدام أدوات جاهزة. تضمنت الأهداف المحتملة المستخدمين من أوروبا الشرقية في بلغاريا وبولندا والمجر وروسيا.
محاولات لتسوية تطبيقات الويب
تتضمن سلاسل العدوى التي اكتشفتها شركة الأمن السيبراني محاولات لتسوية تطبيقات الويب الضعيفة مثل WordPress و CPanel لتوزيع البرامج الضارة عن طريق الملفات التي تتنكر كبطاقات هدايا أمازون مزيفة.
حمولة المرحلة الأولى هي ملف تطبيق HTML (HTA) يقوم بتشغيل برنامج PowerShell النصي مستضاف على خادم الأوامر والتحكم (C2) لبدء نشر الحمولات المؤقتة التي تقوم في النهاية بحقن البرامج الضارة باستخدام تقنية تسمى تجويف العملية.
يوصف ModernLoader (المعروف أيضًا باسم Avatar bot) بأنه أحد طروادة .NET للوصول عن بُعد. وهو مزود بميزات لجمع معلومات النظام أو تنفيذ أوامر عشوائية أو تنزيل ملف وتشغيله من خادم C2. مما يسمح للخصم بتغيير الوحدات في الواقع.
كشف تحقيق Cisco أيضًا عن حملتين سابقتين في مارس 2022 باستخدام طريقة عمل مماثلة تستفيد من متسللون ModernLoader باعتبارها الاتصالات الأساسية للبرامج الضارة C2 وتخدم برامج ضارة إضافية. بما في ذلك XMRig و RedLine Stealer و SystemBC و DCRat و Discord token stealer. من بين آخرين.
قال سفايسر: “تصور هذه الحملات ممثلاً يجرب تقنيات مختلفة”. “يُظهر استخدام الأدوات الجاهزة أن الممثل يفهم TTPs المطلوبة لحملة برامج ضارة ناجحة ولكن مهاراتهم التقنية لم يتم تطويرها بما يكفي لتطوير أدواتهم الخاصة بشكل كامل.”