Δευτέρα, 22 Φεβρουαρίου, 06:01
Αρχική security Οι TA505 APT hackers εξαπλώνουν κακόβουλο λογισμικό μέσω Excel

Οι TA505 APT hackers εξαπλώνουν κακόβουλο λογισμικό μέσω Excel

TA505 Η ομάδα hackers TA505 APT εξαπλώνει μια νέα παραλλαγή του ServHelper malware μέσω Excel 4.0, αποσκοπώντας στο άνοιγμα «backdoor» που θα της επιτρέψει να αποκτήσει πρόσβαση και να κλέψει ευαίσθητες πληροφορίες.

Οι TA505 hackers έχουν εμπλακεί σε διάφορες επιθέσεις, όπως το Dridex banking Trojan και Locky ransomware.

Η ομάδα TA505 στοχεύει κυρίως ιδρύματα, οργανισμούς, τράπεζες, επιχειρήσεις και εστιατόρια.

Στη συγκεκριμένη περίπτωση, οι hackers χρησιμοποιούν το Excel 4.0 macro Dropper για να στείλουν το ServHelper Backdoor και το payload.

Πώς μολύνεται το σύστημα;

Αρχικά το κακόβουλο φύλλο του Excel παραδίδεται μέσω malspam emails. Αν ο χρήστης-στόχος ανοίξει το έγγραφο, εκτελείται το Excel 4.0 macro και καλείται το msiexec.exe με σκοπό να γίνει λήψη και εκτέλεση του payload ServHelper.

Το ServHelper installer διαθέτει έγκυρη ψηφιακή υπογραφή.

Μόλις ο κακόβουλος κώδικας εκτελεστεί, θα εγκατασταθεί ένα αρχείο DLL, το οποίο εμπεριέχεται στον installer, στο ακόλουθο path: \%TEMP%\xmlparse.dll. Εν συνεχεία, μέσω του rundll32.exe καλείται το function με την ονομασία “sega”, το οποίο εμπεριέχεται στο κακόβουλο DLL.

Τo malware στη συνέχεια θα τρέξει ένα base64 encoded PowerShell script (το οποίο εμπεριέχεται στο  xmlparse.dll ως resource) στο ακόλουθο path \%TEMP%\enu1.ps1.

Αργότερα, το κακόβουλο λογισμικό θα τρέξει το base64 encoded PowerShell script ελέγχοντας αν ένα μηχάνημα αποτελεί μέρος ενός domain. Επίσης ελέγχει αν ο χρήστης έχει δικαιώματα διαχειριστή ή αν είναι μέλος της ομάδας διαχειριστών.

Τέλος, το ServHelper επικοινωνεί με το C2 του για να λάβει εντολές από τον εισβολέα.

Η ομάδα TA505 αποτελεί σημαντική απειλή, καθώς αναπτύσσει συνεχώς εξελιγμένα κακόβουλα προγράμματα για διάφορους σκοπούς.

Ενδείξεις ότι υπάρχει κίνδυνος

Excel 4.0 macro Dropper

63522e00181e6b8d9ae8bfd51f7df8f8ebd0f42323e22047269df9c7a71c9b6d

NSIS Payloads

e0323064f2561ae02f9efae418aeaf433b3fe0e6e3a640a9c46ec404d4563de1 302aa690ae61d36769ecdaa3d23ac8fb167e80aed2fe5dbc8938f7b75c655a01

ServHelper core DLL

bee3b2710f7e874ce05e6b8b45cc20e021b9c00ee337238598e71e7315128333 2f827084ecc300aea0c84cba8872c9a34e6afce56eea454d74f4dd3144301a2d

Encoded reconnaissance PowerShell script

da7465f14cd8a934668f59974e8836e02a9b1ff948bfe964040b840ab61697dc da7465f14cd8a934668f59974e8836e02a9b1ff948bfe964040b840ab61697dc

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Πως να πραγματοποιήσετε μια κλήση Facetime Audio

Έχετε κουραστεί από τις κλήσεις κινητής τηλεφωνίας χαμηλής ποιότητας; Χάρη στο FaceTime, μπορείτε να πραγματοποιείτε κλήσεις υψηλής ανάλυσης αν χρησιμοποιείτε iPhone, iPad,...

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...