Carding 4 Carders
Professional
- Messages
- 2,724
- Reaction score
- 1,586
- Points
- 113
В ходе последней эволюции участников угроз, злоупотребляющих законной инфраструктурой в гнусных целях, новые данные показывают, что хакерские группы из национальных государств вступили в борьбу, используя социальную платформу для атак на критическую инфраструктуру.
Discord в последние годы стал прибыльной целью, выступая в качестве благодатной почвы для размещения вредоносных программ с использованием своей сети доставки контента (CDN), а также позволяя похитителям информации выкачивать конфиденциальные данные из приложения и облегчая их эксфильтрацию с помощью веб-крючков.
"Использование Discord в значительной степени ограничено кражами информации, которые любой может купить или загрузить из Интернета", - сказали исследователи Trellix Эрнесто Фернандес Провечо и Дэвид Пастор Санс в отчете, опубликованном в понедельник.
Но ситуация может измениться, поскольку фирма по кибербезопасности заявила, что обнаружила доказательства того, что артефакт нацелен на критическую инфраструктуру Украины. В настоящее время нет доказательств, связывающих его с известной группой угроз.
"Потенциальное появление вредоносных программ APT, использующих функциональные возможности Discord, создает новый уровень сложности в ландшафте угроз", - отметили исследователи.
Образец представляет собой файл Microsoft OneNote, распространяемый через электронное сообщение, выдающее себя за некоммерческую организацию dobro.ua.
После открытия файл содержит ссылки на украинских солдат, которые обманом заставляют получателей делать пожертвования, нажимая на заминированную кнопку, в результате чего запускается Visual Basic Script (VBS), предназначенный для извлечения и запуска сценария PowerShell с целью загрузки другого сценария PowerShell из репозитория GitHub.
Со своей стороны, на заключительном этапе PowerShell использует веб-интерфейс Discord для извлечения системных метаданных.
"Тот факт, что единственной целью конечной полезной нагрузки является получение информации о системе, указывает на то, что кампания все еще находится на ранней стадии, что также согласуется с использованием Discord в качестве [командования и контроля]", - сказали исследователи.
"Однако важно подчеркнуть, что злоумышленник может в будущем внедрить более сложную вредоносную программу в взломанные системы, изменив файл, хранящийся в репозитории GitHub".
Анализ Trellix также показал, что загрузчики, такие как SmokeLoader, PrivateLoader и GuLoader, являются одними из наиболее распространенных семейств вредоносных программ, которые используют CDN Discord для загрузки полезной нагрузки следующего этапа, включая такие программы-похитители, как RedLine, Vidar, Agent Tesla и Umbral.
Кроме того, некоторые из распространенных семейств вредоносных программ, которые были замечены при использовании веб-крючков Discord, - это Mercurial Grabber, Stealerium, Typhon Stealer и Venom RAT.
"Злоупотребление CDN Discord в качестве механизма распространения дополнительных полезных вредоносных программ демонстрирует способность киберпреступников использовать приложения для совместной работы в своих целях", - заявили исследователи.
"APT известны своими изощренными и целенаправленными атаками, и, внедряясь в широко используемые коммуникационные платформы, такие как Discord, они могут эффективно создавать долгосрочные плацдармы в сетях, подвергая риску критически важную инфраструктуру и конфиденциальные данные".
