Unfurling Hemlock разворачивает на компьютерах жертв множество вредоносных программ - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
 Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
 Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
 «Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
 Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
 Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
 В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
 Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
 Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
 Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Unfurling Hemlock разворачивает на компьютерах жертв множество вредоносных программ - «Новости»

✔Unfurling Hemlock разворачивает на компьютерах жертв множество вредоносных программ - «Новости»

30 июня 2024 553 Новости / Изображения / Преимущества стилей / Текст / Добавления стилей / Отступы и поля / Блог для вебмастеров 0

ИБ-компания Outpost24 обнаружила активность новой группировки Unfurling Hemlock, которая заражает целевые системы сразу множеством вредоносов и распространяет сотни тысяч вредоносных файлов.


Исследователи описывают этот способ заражения как «кассетную бомбу из малвари», которая позволяет злоумышленникам использовать всего один образец вредоносного ПО, который затем обеспечивает дополнительное заражение машины жертвы.


По данным компании, активность Unfurling Hemlock началась еще в феврале 2023 года, и исследователи обнаружили более 50 000 файлов с такими «кассетными бомбами».


Отмечается, что более половины всех атак Unfurling Hemlock были направлены на системы в США, но относительно высокая активность также наблюдалась в Германии, России, Турции, Индии и Канаде.


Атаки начинаются с выполнения файла WEXTRACT.EXE, который попадает на целевые устройства либо через вредоносные письма, либо через загрузчики малвари, к которым Unfurling Hemlock имеют доступ (предполагается, что хакеры сотрудничают с их операторами).


Вредоносный исполняемый файл содержит вложенные cabinet-файлы, на каждом уровне которых хранится образец малвари и еще один сжатый файл. На каждом этапе распаковки на машину жертвы устанавливается какой-либо вредонос, а на заключительном этапе все извлеченные файлы выполняются в обратном порядке (то есть сначала выполняется последний извлеченный).





Специалисты Outpost24  пишут, что наблюдали от четырех до семи этапов распаковки, то есть количество малвари, использующейся в атаках Unfurling Hemlock, варьируется.


Загрузка сразу многих полезных нагрузок в скомпрометированную систему обеспечивает высокий уровень избыточности для злоумышленников, дает им больше возможностей для закрепления в системе и монетизации. Невзирая на возрастающий в таких случаях риск обнаружения, многие хакеры придерживаются похожей агрессивной стратегии, рассчитывая, что хотя бы часть их вредоносов сохранится в процессе очистки системы.


Среди пейлоадов Unfurling Hemlock исследователи заметили: стилеры Redline, RisePro и Mystic Stealer, кастомный загрузчик Amadey, загрузчик и бэкдор SmokeLoader, утилиту Protection disabler, предназначенную для отключения Windows Defender и других защитных решений, инструмент для обфускации и сокрытия полезных нагрузок Enigma Packer, утилиту Performance checker, использующуюся для проверки и логирования выполнения вредоносов, а также утилиты, использующие штатные инструменты Windows (wmiadap.exe и wmiprvse.exe) для сбора системной информации.


Хотя исследователи не вдаются в подробности того, как Unfurling Hemlock монетизирует свои атаки, можно предположить, что группировка продает другим преступникам логи стилеров и доступы к взломанным машинам.


Судя по всему, участники Unfurling Hemlock находятся в одной из стран Восточной Европы. На это указывает наличие русского языка в некоторых образцах малвари, а также  использование Autonomous System 203727, которая связана с хостингом, популярным среди хак-групп в этом регионе.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

ИБ-компания Outpost24 обнаружила активность новой группировки Unfurling Hemlock, которая заражает целевые системы сразу множеством вредоносов и распространяет сотни тысяч вредоносных файлов. Исследователи описывают этот способ заражения как «кассетную бомбу из малвари», которая позволяет злоумышленникам использовать всего один образец вредоносного ПО, который затем обеспечивает дополнительное заражение машины жертвы. По данным компании, активность Unfurling Hemlock началась еще в феврале 2023 года, и исследователи обнаружили более 50 000 файлов с такими «кассетными бомбами». Отмечается, что более половины всех атак Unfurling Hemlock были направлены на системы в США, но относительно высокая активность также наблюдалась в Германии, России, Турции, Индии и Канаде. Атаки начинаются с выполнения файла WEXTRACT.EXE, который попадает на целевые устройства либо через вредоносные письма, либо через загрузчики малвари, к которым Unfurling Hemlock имеют доступ (предполагается, что хакеры сотрудничают с их операторами). Вредоносный исполняемый файл содержит вложенные cabinet-файлы, на каждом уровне которых хранится образец малвари и еще один сжатый файл. На каждом этапе распаковки на машину жертвы устанавливается какой-либо вредонос, а на заключительном этапе все извлеченные файлы выполняются в обратном порядке (то есть сначала выполняется последний извлеченный). Специалисты Outpost24 пишут, что наблюдали от четырех до семи этапов распаковки, то есть количество малвари, использующейся в атаках Unfurling Hemlock, варьируется. Загрузка сразу многих полезных нагрузок в скомпрометированную систему обеспечивает высокий уровень избыточности для злоумышленников, дает им больше возможностей для закрепления в системе и монетизации. Невзирая на возрастающий в таких случаях риск обнаружения, многие хакеры придерживаются похожей агрессивной стратегии, рассчитывая, что хотя бы часть их вредоносов сохранится в процессе очистки системы. Среди пейлоадов Unfurling Hemlock исследователи заметили: стилеры Redline, RisePro и Mystic Stealer, кастомный загрузчик Amadey, загрузчик и бэкдор SmokeLoader, утилиту Protection disabler, предназначенную для отключения Windows Defender и других защитных решений, инструмент для обфускации и сокрытия полезных нагрузок Enigma Packer, утилиту Performance checker, использующуюся для проверки и логирования выполнения вредоносов, а также утилиты, использующие штатные инструменты Windows (wmiadap.exe и wmiprvse.exe) для сбора системной информации. Хотя исследователи не вдаются в подробности того, как Unfurling Hemlock монетизирует свои атаки, можно предположить, что группировка продает другим преступникам логи стилеров и доступы к взломанным машинам. Судя по всему, участники Unfurling Hemlock находятся в одной из стран Восточной Европы. На это указывает наличие русского языка в некоторых образцах малвари, а также использование Autonomous System 203727, которая связана с хостингом, популярным среди хак-групп в этом регионе.
CSS
запостил(а)
Chapman
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: