Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Исполнители угроз, стоящие за вредоносным ПО PikaBot, внесли существенные изменения в вредоносное ПО, что было описано как случай "деволюции".
"Хотя кажется, что он находится в новом цикле разработки и фазе тестирования, разработчики снизили сложность кода, удалив передовые методы обфускации и изменив сетевые коммуникации", - сказал исследователь Zscaler ThreatLabZ Николаос Пантазопулос.
PikaBot, впервые задокументированный фирмой по кибербезопасности в мае 2023 года, представляет собой загрузчик вредоносного ПО и бэкдор, который может выполнять команды и вводить полезные данные с командно-контрольного сервера (C2), а также позволяет злоумышленнику контролировать зараженный хост.
Также известно, что он приостанавливает свою работу, если языком системы является русский или украинский, что указывает на то, что операторы находятся либо в России, либо в Украине.
В последние месяцы как PikaBot, так и другой загрузчик под названием DarkGate стали привлекательной заменой таким субъектам угроз, как Water Curupira (он же TA577), для получения начального доступа к целевым сетям с помощью фишинговых кампаний и удаления Cobalt Strike.
Проведенный Zscaler анализ новой версии PikaBot (версия 1.18.32), за которым компания наблюдала в этом месяце, показал, что компания по-прежнему сосредоточена на запутывании, хотя и с использованием более простых алгоритмов шифрования, и вставке нежелательного кода между действительными инструкциями в рамках своих усилий противостоять анализу.
Еще одно важное изменение, замеченное в последней итерации, заключается в том, что вся конфигурация бота, аналогичная конфигурации QakBot, хранится в виде открытого текста в одном блоке памяти, в отличие от шифрования каждого элемента и их декодирования во время выполнения.
Третье изменение касается сетевых коммуникаций сервера C2: разработчики вредоносного ПО изменили идентификаторы команд и алгоритм шифрования, используемый для защиты трафика.
"Несмотря на свое недавнее бездействие, PikaBot продолжает оставаться серьезной киберугрозой и находится в постоянном развитии", - заключили исследователи.
"Однако разработчики решили применить другой подход и снизить уровень сложности кода PikaBot, удалив расширенные функции запутывания".
Разработка осуществляется после того, как Proofpoint предупредила о продолжающейся кампании по захвату облачных учетных записей (ATO), которая была нацелена на десятки сред Microsoft Azure и скомпрометировала сотни учетных записей пользователей, включая те, которые принадлежат руководителям высшего звена.
Деятельность, ведущаяся с ноября 2023 года, выделяет пользователей с помощью индивидуальных фишинговых приманок, содержащих файлы-приманки, которые содержат ссылки на вредоносные фишинговые веб-страницы для сбора учетных данных, и использует их для последующей фильтрации данных, внутреннего и внешнего фишинга и финансового мошенничества.
"Хотя кажется, что он находится в новом цикле разработки и фазе тестирования, разработчики снизили сложность кода, удалив передовые методы обфускации и изменив сетевые коммуникации", - сказал исследователь Zscaler ThreatLabZ Николаос Пантазопулос.
PikaBot, впервые задокументированный фирмой по кибербезопасности в мае 2023 года, представляет собой загрузчик вредоносного ПО и бэкдор, который может выполнять команды и вводить полезные данные с командно-контрольного сервера (C2), а также позволяет злоумышленнику контролировать зараженный хост.
Также известно, что он приостанавливает свою работу, если языком системы является русский или украинский, что указывает на то, что операторы находятся либо в России, либо в Украине.
В последние месяцы как PikaBot, так и другой загрузчик под названием DarkGate стали привлекательной заменой таким субъектам угроз, как Water Curupira (он же TA577), для получения начального доступа к целевым сетям с помощью фишинговых кампаний и удаления Cobalt Strike.
Проведенный Zscaler анализ новой версии PikaBot (версия 1.18.32), за которым компания наблюдала в этом месяце, показал, что компания по-прежнему сосредоточена на запутывании, хотя и с использованием более простых алгоритмов шифрования, и вставке нежелательного кода между действительными инструкциями в рамках своих усилий противостоять анализу.
Еще одно важное изменение, замеченное в последней итерации, заключается в том, что вся конфигурация бота, аналогичная конфигурации QakBot, хранится в виде открытого текста в одном блоке памяти, в отличие от шифрования каждого элемента и их декодирования во время выполнения.
Третье изменение касается сетевых коммуникаций сервера C2: разработчики вредоносного ПО изменили идентификаторы команд и алгоритм шифрования, используемый для защиты трафика.
"Несмотря на свое недавнее бездействие, PikaBot продолжает оставаться серьезной киберугрозой и находится в постоянном развитии", - заключили исследователи.
"Однако разработчики решили применить другой подход и снизить уровень сложности кода PikaBot, удалив расширенные функции запутывания".
Разработка осуществляется после того, как Proofpoint предупредила о продолжающейся кампании по захвату облачных учетных записей (ATO), которая была нацелена на десятки сред Microsoft Azure и скомпрометировала сотни учетных записей пользователей, включая те, которые принадлежат руководителям высшего звена.
Деятельность, ведущаяся с ноября 2023 года, выделяет пользователей с помощью индивидуальных фишинговых приманок, содержащих файлы-приманки, которые содержат ссылки на вредоносные фишинговые веб-страницы для сбора учетных данных, и использует их для последующей фильтрации данных, внутреннего и внешнего фишинга и финансового мошенничества.
