More

    Quasar RAT koristi DLL bočno učitavanje kako bi ostao ispod radara

    Quasar RAT, trojanac otvorenog koda za daljinski pristup poznat i kao CinaRAT ​​ili Yggdrasil, primijećen je kako koristi novu Microsoftovu datoteku kao dio svog procesa bočnog učitavanja DLL-a kako bi potajno ispustio zlonamjerne sadržaje na kompromitovane Windows sisteme. U 2022, Uptycs istraživači su primijetili da malver QBot koristi taktiku putem Microsoftove datoteke ‘calc.exe’. Sada, 2023. godine, hakeri iza Quasar RAT-a usvojili su sličnu metodu i koriste dvije Microsoftove datoteke — ctfmon.exe i calc.exe — za izvršavanje payloada bez izazivanja sumnje. 

    Pogledajte scenario napada

    • Kako je dokumentovao Uptycs, napad koristi datoteku ISO slike koja sadrži tri datoteke: legitimnu binarnu datoteku pod nazivom ctfmon.exe koja je preimenovana u eBill-997358806.exe, datoteku MsCtfMonitor.dll koja je preimenovana u monitor.ini i zlonamjernu verziju MsCtfMonitor.dll. Napadač skriva maliciozni DLL unutar “ctfmon.exe”, koji postavlja teren za naredne radnje.
    • Ovo pokreće zlonamjerni DLL, što dovodi do infiltracije Quasar RAT payloada u memoriju računara, pokazujući sposobnost napadača da zaobiđe sigurnosne mjere.
    • Jednom kada se Quasar RAT izvrši u memoriji računara, on dalje koristi tehniku ​​ukopavanja procesa koja mu omogućava da sakrije svoju zlonamjernu namjeru i učini detekciju izazovnijom.

    DLL bočno učitavanje dobija na snazi

    • Iako DLL sideloading nije novost, istraživači primjećuju povećanje usvajanja procesa od strane hakera. 
    • Nedavno je novootkrivena grupa hakera po imenu Grayling iskoristila taktiku putem SbieDll_Hook-a kako bi učitala različita opterećenja, kao što su Cobalt Strike, NetSpy i Havoc framework, na sisteme žrtava. 
    • U drugom incidentu, manje poznati kineski haker, ToddyCat, iskoristio je bočno učitavanje DLL-a za izvršavanje zlonamjernih payloada protiv vladinih i telekomunikacijskih organizacija u azijskim zemljama. 

    Zaključak

    Budući da bočno učitavanje DLL-a prvenstveno koristi veze, e-poruke ili priloge za skrivanje malvera, organizacijama se savjetuje da paze na takve sumnjive i nepoznate artefakte kako bi bile bezbjedne. Osim toga, preporučuje se implementacija naprednih sigurnosnih rješenja krajnjih tačaka za otkrivanje i blokiranje sumnjivih aktivnosti u početnoj fazi.

    Izvor: Cyware Alerts – Hacker News

    Recent Articles

    spot_img

    Related Stories