Microsoft twierdzi, że miliony różnych urządzeń są zainfekowane
Microsoft informuje, że miliony urządzeń zostały zaatakowane przez malware, który przekierowuje użytkowników do repozytorium złośliwego oprogramowania hostowanego w GitHubie. Kampania … Czytaj dalej The post Microsoft twierdzi, że miliony różnych urządzeń są zainfekowane appeared first on Kapitan Hack.

Microsoft informuje, że miliony urządzeń zostały zaatakowane przez malware, który przekierowuje użytkowników do repozytorium złośliwego oprogramowania hostowanego w GitHubie.
Kampania przypisywana jest grupie nazywanej Storm-0408. Celowano w odwiedzających nielegalne witryny streamingowe, gdzie przekierowania złośliwego oprogramowania prowadziły do witryny pośredniej, a następnie do platformy hostującej kod, należącej do Microsoft.
Do hostowania złośliwego oprogramowania używany był głównie Github, ale także Discord oraz Dropbox. Jak twierdzi Microsoft, zaatakowano organizacje i branże z szerokiego zakresu, w tym zarówno urządzenia konsumenckie, jak i korporacyjne.
Wielowarstwowy łańcuch infekcji zaobserwowany w działaniach hakerów obejmował działający jako dropper ładunek pierwszego etapu hostowany w GitHubie, pliki drugiego etapu do wykrywania systemu i kradzieży informacji systemowych oraz ładunki trzeciego etapu służące do dodatkowych złośliwych działań.
Po zainstalowaniu na urządzeniu ofiary złośliwe oprogramowanie przechowywane w repozytoriach GitHub pobierało i wdrażało dodatkowe pliki i skrypty, aby zbierać informacje o systemie, wykonywać polecenia i eksfiltrować dane z zainfekowanych urządzeń.
Badacze Microsoftu zidentyfikowali oprogramowanie z grupy „złodziei informacji”, takich jak Lumma Stealer, i zaktualizowaną wersję Doenerium, które były wdrażane w systemach ofiar, wraz z softem do zdalnego monitorowania i zarządzania (RMM), jak NetSupport, oraz różnymi skryptami PowerShell, JavaScript, VBScript i AutoIT.
W przypadku operacji typu command-and-control (C&C) oraz eksfiltracji danych i poświadczeń przeglądarki hakerzy korzystali z plików binarnych i skryptów Living-off-the-land, jak PowerShell, MSBuild i RegAsm. W celu zapewnienia trwałości atakujący modyfikowali klucze uruchamiania rejestru i dodawali plik skrótu do folderu Startup.
Według Microsoftu ładunki pierwszego etapu używane w kampanii były podpisane cyfrowo. Microsoft zidentyfikował i unieważnił 12 różnych certyfikatów użytych w ramach ataków. Gigant technologiczny udostępnił szczegóły techniczne na temat zaobserwowanych złośliwych plików i skryptów, wraz ze wskaźnikami zagrożenia (IoC), wzywając organizacje i użytkowników do zapewnienia odpowiedniej ochrony swoich systemów przed takimi atakami. Opis można znaleźć tutaj.
The post Microsoft twierdzi, że miliony różnych urządzeń są zainfekowane appeared first on Kapitan Hack.