Unfurling Hemlock разворачивает на компьютерах жертв множество вредоносных программ - «Новости» » Интернет технологии
sitename
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
 В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
 В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
 Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
 Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
 Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
 Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
 Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
 «Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
 Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Unfurling Hemlock разворачивает на компьютерах жертв множество вредоносных программ - «Новости»

✔Unfurling Hemlock разворачивает на компьютерах жертв множество вредоносных программ - «Новости»

30 июня 2024 462 Новости / Изображения / Преимущества стилей / Текст / Добавления стилей / Отступы и поля / Блог для вебмастеров 0

ИБ-компания Outpost24 обнаружила активность новой группировки Unfurling Hemlock, которая заражает целевые системы сразу множеством вредоносов и распространяет сотни тысяч вредоносных файлов.


Исследователи описывают этот способ заражения как «кассетную бомбу из малвари», которая позволяет злоумышленникам использовать всего один образец вредоносного ПО, который затем обеспечивает дополнительное заражение машины жертвы.


По данным компании, активность Unfurling Hemlock началась еще в феврале 2023 года, и исследователи обнаружили более 50 000 файлов с такими «кассетными бомбами».


Отмечается, что более половины всех атак Unfurling Hemlock были направлены на системы в США, но относительно высокая активность также наблюдалась в Германии, России, Турции, Индии и Канаде.


Атаки начинаются с выполнения файла WEXTRACT.EXE, который попадает на целевые устройства либо через вредоносные письма, либо через загрузчики малвари, к которым Unfurling Hemlock имеют доступ (предполагается, что хакеры сотрудничают с их операторами).


Вредоносный исполняемый файл содержит вложенные cabinet-файлы, на каждом уровне которых хранится образец малвари и еще один сжатый файл. На каждом этапе распаковки на машину жертвы устанавливается какой-либо вредонос, а на заключительном этапе все извлеченные файлы выполняются в обратном порядке (то есть сначала выполняется последний извлеченный).





Специалисты Outpost24  пишут, что наблюдали от четырех до семи этапов распаковки, то есть количество малвари, использующейся в атаках Unfurling Hemlock, варьируется.


Загрузка сразу многих полезных нагрузок в скомпрометированную систему обеспечивает высокий уровень избыточности для злоумышленников, дает им больше возможностей для закрепления в системе и монетизации. Невзирая на возрастающий в таких случаях риск обнаружения, многие хакеры придерживаются похожей агрессивной стратегии, рассчитывая, что хотя бы часть их вредоносов сохранится в процессе очистки системы.


Среди пейлоадов Unfurling Hemlock исследователи заметили: стилеры Redline, RisePro и Mystic Stealer, кастомный загрузчик Amadey, загрузчик и бэкдор SmokeLoader, утилиту Protection disabler, предназначенную для отключения Windows Defender и других защитных решений, инструмент для обфускации и сокрытия полезных нагрузок Enigma Packer, утилиту Performance checker, использующуюся для проверки и логирования выполнения вредоносов, а также утилиты, использующие штатные инструменты Windows (wmiadap.exe и wmiprvse.exe) для сбора системной информации.


Хотя исследователи не вдаются в подробности того, как Unfurling Hemlock монетизирует свои атаки, можно предположить, что группировка продает другим преступникам логи стилеров и доступы к взломанным машинам.


Судя по всему, участники Unfurling Hemlock находятся в одной из стран Восточной Европы. На это указывает наличие русского языка в некоторых образцах малвари, а также  использование Autonomous System 203727, которая связана с хостингом, популярным среди хак-групп в этом регионе.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

ИБ-компания Outpost24 обнаружила активность новой группировки Unfurling Hemlock, которая заражает целевые системы сразу множеством вредоносов и распространяет сотни тысяч вредоносных файлов. Исследователи описывают этот способ заражения как «кассетную бомбу из малвари», которая позволяет злоумышленникам использовать всего один образец вредоносного ПО, который затем обеспечивает дополнительное заражение машины жертвы. По данным компании, активность Unfurling Hemlock началась еще в феврале 2023 года, и исследователи обнаружили более 50 000 файлов с такими «кассетными бомбами». Отмечается, что более половины всех атак Unfurling Hemlock были направлены на системы в США, но относительно высокая активность также наблюдалась в Германии, России, Турции, Индии и Канаде. Атаки начинаются с выполнения файла WEXTRACT.EXE, который попадает на целевые устройства либо через вредоносные письма, либо через загрузчики малвари, к которым Unfurling Hemlock имеют доступ (предполагается, что хакеры сотрудничают с их операторами). Вредоносный исполняемый файл содержит вложенные cabinet-файлы, на каждом уровне которых хранится образец малвари и еще один сжатый файл. На каждом этапе распаковки на машину жертвы устанавливается какой-либо вредонос, а на заключительном этапе все извлеченные файлы выполняются в обратном порядке (то есть сначала выполняется последний извлеченный). Специалисты Outpost24 пишут, что наблюдали от четырех до семи этапов распаковки, то есть количество малвари, использующейся в атаках Unfurling Hemlock, варьируется. Загрузка сразу многих полезных нагрузок в скомпрометированную систему обеспечивает высокий уровень избыточности для злоумышленников, дает им больше возможностей для закрепления в системе и монетизации. Невзирая на возрастающий в таких случаях риск обнаружения, многие хакеры придерживаются похожей агрессивной стратегии, рассчитывая, что хотя бы часть их вредоносов сохранится в процессе очистки системы. Среди пейлоадов Unfurling Hemlock исследователи заметили: стилеры Redline, RisePro и Mystic Stealer, кастомный загрузчик Amadey, загрузчик и бэкдор SmokeLoader, утилиту Protection disabler, предназначенную для отключения Windows Defender и других защитных решений, инструмент для обфускации и сокрытия полезных нагрузок Enigma Packer, утилиту Performance checker, использующуюся для проверки и логирования выполнения вредоносов, а также утилиты, использующие штатные инструменты Windows (wmiadap.exe и wmiprvse.exe) для сбора системной информации. Хотя исследователи не вдаются в подробности того, как Unfurling Hemlock монетизирует свои атаки, можно предположить, что группировка продает другим преступникам логи стилеров и доступы к взломанным машинам. Судя по всему, участники Unfurling Hemlock находятся в одной из стран Восточной Европы. На это указывает наличие русского языка в некоторых образцах малвари, а также использование Autonomous System 203727, которая связана с хостингом, популярным среди хак-групп в этом регионе.
CSS
запостил(а)
Chapman
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: