- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 10м
- Сделки
- 251
- Нарушения
- 0 / 0
По словам Томера Бара, руководителя команды исследователей в SafeBreach, за незаметным вредоносом и его C&C-инфраструктурой стоит крайне хорошо подготовленная группировка, которая уже атаковала около 100 жертв.
Цепочка атак неизвестной группировки начинается с Word-документа ( VirusTotal ), который 25 августа 2022 года был выгружен в сеть из Иордании. Метаданные документа говорят о том, что хакеры нацелены в первую очередь на пользователей LinkedIn.
Если жертва откроет документ, то с помощью вшитого в файл макрокода на ее компьютере выполнится PowerShell-скрипт (Script1.ps1)
PowerShell-скрипт нужен для подключения к C&C-серверу и получения команд, которые будут запущены вторым скриптом (temp.ps1).
Однако хакеры допустили ошибку в своем скрипте, с помощью чего исследователи смогли реконструировать команды, отправляемые сервером. Среди них были команды для запуска whoami, перечисления файлов в определенных папках, извлечения списка запущенных процессов и удаления файлов из общих папок пользователей.
