Un actor de amenințare urmărit sub numele de Unfurling Hemlock a infectat sistemele țintă cu până la zece piese de malware în același timp, în campanii care distribuie sute de mii de fișiere malitioase.
Cercetătorii de securitate descriu metoda de infectare ca fiind o „bombă de cluster de malware” care permite actorului de amenințare să folosească o mostră de malware care răspândește altele suplimentare pe mașina compromisă.
Tipurile de malware livrate în acest mod includ furători de informații, botnet-uri și backdoor-uri.
Operațiunea a fost descoperită de KrakenLabs din Outpost24, echipa de Intelligence Cyber Threat a companiei de securitate, care spun că activitatea datează cel puțin din februarie 2023 și folosește o metodă distinctivă de distribuție.
KrakenLabs a observat peste 50.000 de fișiere „bombă de cluster” care aveau caracteristici unice care le leagă de grupul Unfurling Hemlock.
Atacurile încep cu executarea unui fișier numit ‘WEXTRACT.EXE’ care ajunge pe dispozitivele țintă fie printr-un e-mail malitios fie prin încărcătoare de malware la care Unfurling Hemlock are acces prin contractarea operatorilor acestora.
Executabilul malitios conține fișiere cabinet comprimate în mod nestemat, fiecare nivel conținând o mostră de malware și încă un fișier comprimat.
Fiecare pas de dezarhivare lasă o variantă de malware pe mașina victimelor. Când este atinsă etapa finală, fișierele extrase sunt executate în ordine inversă, ceea ce înseamnă că cel mai recent malware extras este executat primul.
KrakenLabs a observat între patru și șapte etape, ceea ce înseamnă că numărul de pași și cantitatea de malware livrată în timpul atacurilor Unfurling Hemlock variază.
Din mostrele analizate, cercetătorii au dedus că peste jumătate din toate atacurile Unfurling Hemlock au vizat sisteme din Statele Unite, în timp ce activitatea cu un volum relativ mare a fost observată și în Germania, Rusia, Turcia, India și Canada.
Lăsând mai multe sarcini pe un sistem compromis oferă actorilor de amenințare niveluri ridicate de redundanță, oferind mai multe oportunități de persistență și monetizare.
În ciuda dezavantajului de a risca detectarea, mulți actori de amenințare urmează această strategie agresivă, așteptându-se ca cel puțin unele dintre sarcini să supraviețuiască procesului de curățare.
În cazul Unfurling Hemlock, analiștii KrakenLabs au observat următorul malware, încărcătoare și utilitare abandonate pe mașinile victimelor:
Raportul KrakenLabs nu intră în detalii despre căile de monetizare sau activitatea post-compromis, dar se poate presupune că Unfurling Hemlock vinde „loguri” furătoare de informații și acces inițial altor actori de amenințare.
Bazându-se pe dovezi descoperite în timpul investigației, cercetătorii cred cu „un grad rezonabil de certitudine” că Unfurling Hemlock are sediul într-o țară din Europa de Est.
Două indicații ale acestei origini sunt prezența limbii ruse în unele mostre și utilizarea Sistemului Autonom 203727, care este legat de un serviciu de găzduire popular printre grupările de infractori cibernetici din regiune.
Outpost24 recomandă utilizatorilor să scaneze fișierele descărcate folosind instrumente antivirus actualizate înainte de a le executa, deoarece toate malware-urile abandonate în această campanie sunt bine documentate și au semnături cunoscute.
Fake Google Chrome errors trick you into running malicious PowerShell scripts
Police seize over 100 malware loader servers, arrest four cybercriminals
Snowblind malware abuses Android security feature to bypass security
New Medusa malware variants target Android users in seven countries
Phoenix UEFI vulnerability impacts hundreds of Intel PC models
Leave a Reply