НАЗАД К НОВОСТЯМ
Срочные новости

Кампания DEAD#VAX: эксплуатация IPFS и обфускация для распространения AsyncRAT

2 мин чтенияИсточник: The Hacker News

Исследователи обнаружили изощренную киберкампанию DEAD#VAX, использующую IPFS и обфускацию скриптов для обхода защит и доставки трояна AsyncRAT. Узнайте о методах атаки и мерах защиты.

Изощренная киберкампания DEAD#VAX нацелена на организации с использованием AsyncRAT

Специалисты по кибербезопасности выявили скрытую вредоносную кампанию DEAD#VAX, которая сочетает VHD-файлы, размещенные в IPFS, продвинутую обфускацию скриптов и выполнение в памяти для обхода традиционных средств защиты и доставки AsyncRAT (трояна удаленного доступа). Кампания демонстрирует дисциплинированный подход к атакам и злоупотребление легитимными системными функциями для уклонения от обнаружения.

Технический анализ цепочки атаки

Кампания DEAD#VAX использует несколько техник уклонения от обнаружения:

  • Вредоносные payloads в IPFS: Киберпреступники распространяют файлы виртуальных жестких дисков (VHD) через InterPlanetary File System (IPFS) — децентрализованную сеть хранения данных, что усложняет усилия по блокировке.
  • Экстремальная обфускация скриптов: Злоумышленники применяют сильно обфусцированные скрипты для сокрытия вредоносного кода, затрудняя статический анализ.
  • Расшифровка во время выполнения и выполнение в памяти: Компоненты вредоноса расшифровываются в процессе работы и выполняются в оперативной памяти, избегая обнаружения на уровне диска.
  • Развертывание AsyncRAT: Конечная полезная нагрузка — AsyncRAT, широко используемый троян удаленного доступа с открытым исходным кодом, способный на удаленное управление, эксфильтрацию данных и поддержание постоянного доступа.

Последствия и сложности обнаружения

Использование IPFS для размещения вредоносных файлов создает значительные трудности для защитников, так как традиционные методы блокировки на основе доменов становятся неэффективными. Кроме того, зависимость кампании от выполнения в памяти и обфускации усложняет обнаружение вредоносной активности решениями для защиты конечных точек (EDR).

Командам безопасности следует отслеживать:

  • Необычные загрузки VHD-файлов с IPFS-шлюзов
  • Подозрительное выполнение PowerShell или скриптов
  • Сетевые подключения к известным командным серверам (C2) AsyncRAT

Рекомендации по снижению рисков и реагированию

Организации могут снизить риски, реализовав следующие меры:

  • Ограничение доступа к IPFS-шлюзам: Блокируйте или контролируйте доступ к известным IPFS-шлюзам, если они не требуются для работы.
  • Усиленный мониторинг скриптов: Внедрите продвинутый поведенческий анализ для обнаружения обфусцированных скриптов и выполнения в памяти.
  • Защита конечных точек: Убедитесь, что решения EDR/XDR настроены на обнаружение AsyncRAT и аналогичных троянов удаленного доступа.
  • Обучение сотрудников: Проводите тренинги по осведомленности о фишинговых атаках, особенно связанных с необычными типами файлов (например, VHD).

Исследователи продолжают анализ кампании для выявления дополнительных индикаторов компрометации (IOC). Командам безопасности рекомендуется следить за новыми угрозами и корректировать защитные меры соответствующим образом.

Поделиться

TwitterLinkedIn