Istraživači sajber sigurnosti otkrili su sofisticiranu kampanju grupe hakera GrayAlpha koja koristi lažne stranice za ažuriranje pretraživača za postavljanje naprednog malicioznog softvera, uključujući novoidentifikovani prilagođeni PowerShell loader nazvan PowerNet.
Operacija, koja je aktivna najmanje od aprila 2024. godine, predstavlja značajnu evoluciju u taktici grupe, demonstrirajući njihovu sposobnost da iskoriste naizgled legitimne mehanizme ažuriranja softvera kao oružje kako bi ugrozili žrtve u više industrija.
Kampanja koristi tri različita vektora infekcije, pri čemu lažna ažuriranja pretraživača služe kao primarni mehanizam isporuke, uz maliciozne web-stranice za preuzimanje 7-Zip arhiva i prethodno nedokumentovani sistem distribucije prometa TAG-124 .
Ovi sofisticirani lanci napada na kraju kulminiraju raspoređivanjem NetSupport RAT-a, trojanca za udaljeni pristup koji napadačima pruža sveobuhvatnu kontrolu nad zaraženim računarima.
Hakeri su pokazali izuzetnu upornost, a novoregistrovani domeni pojavili su se tek u aprilu 2025. godine, što ukazuje na kontinuirane aktivne operacije.
Analitičari Recorded Futurea identifikovali su novu infrastrukturu povezanu s GrayAlphom, otkrivajući preklapanje grupe s financijski motivisanom cyberkriminalnom organizacijom poznatom kao FIN7.
Ova veza je posebno značajna s obzirom na reputaciju FIN7 kao jedne od najplodnijih i tehnički najsofisticiranijih sajber kriminalnih grupa, s operacijama koje datiraju još iz 2013. godine i dokumentovanom historijom napada na organizacije u 47 američkih država i više zemalja.
Infrastruktura lažnog ažuriranja pretraživača sastoji se od opsežne mreže domena dizajniranih da imitiraju legitimne proizvode i usluge, uključujući Google Meet, LexisNexis, Asana, SAP Concur i Advanced IP Scanner.
Ove obmanjujuće stranice koriste sofisticirane tehnike otisaka prstiju, koristeći JavaScript funkcije kao što su getIPAddress() i trackPageOpen() za profilisanje sistema žrtve prije isporuke zlonamjernog sadržaja.
Hakeri pokazali su značajnu svijest o operativnoj sigurnosti, hostujući svoju infrastrukturu prvenstveno putem neprobojnih hosting provajdera, pri čemu se većina domena rješava infrastrukturom kojom upravlja Stark Industries Solutions.
PowerNet loader predstavlja značajan tehnički napredak u GrayAlpha arsenalu, funkcionišući kao prilagođeni PowerShell-bazirani alat koji dekomprimira i izvršava NetSupport RAT pakete.
Ovaj program za učitavanje radi u kombinaciji s MaskBat-om, još jednim prilagođenim programom za učitavanje koji dijeli sličnosti s poznatim malicioznim softverom FakeBat, ali uključuje poboljšane tehnike obfuscation-a i nizove znakova posebno povezane s GrayAlpha operacijama.
Mehanizam infekcije
Vektor infekcije ažuriranjem preglednika demonstrira sofisticirani društveni inženjering u kombinaciji s tehničkom preciznošću. Kada žrtve posjete kompromitovane ili maliciozne web stranice, preusmjeravaju se na lažne stranice za ažuriranje koje blisko imitiraju legitimne interfejse za ažuriranje softvera.
.webp)
Ove stranice koriste napredne skripte za otiske prstiju koje prikupljaju detaljne sistemske informacije prije nego što utvrde da li će prikazivati zlonamjerni sadržaj.
Proces otiska prsta obično uključuje slanje POST zahtjeva domenama s temom mreže za isporuku sadržaja (CDM), kao što je cdn40[.]click, koje slijede dosljedan obrazac imenovanja koji počinje sa “cdn” nakon čega slijede nasumični brojevi i različite domene najvišeg nivoa.
Nakon što se završi sistemsko otiskivanje i žrtva se smatra pogodnom za infekciju, maliciozni sadržaj se isporučuje putem određenih krajnjih tačaka, najčešće /download.php, iako varijacije uključuju /download/download.php i putanje specifične za proizvod dizajnirane da poboljšaju privid legitimnosti.
PowerNet loader zatim pokreće sekvencu dekompresije i izvršavanja, uspostavljajući perzistenciju na ciljnom sistemu dok se priprema za implementaciju NetSupport RAT korisnog tereta.
Ovaj višefazni pristup omogućava akterima prijetnji da održe operativnu fleksibilnost uz minimiziranje otkrivanja od strane sigurnosnih rješenja, što dokazuje kontinuirana aktivnost kampanje tokom perioda dužeg od godinu dana.
Izvor: CyberSecurityNews
