DEV-0569 Group използва Google Ads за разпространение на Royal Ransomware Security Affairs

Microsoft предупреждава, че един от участниците в заплахата, проследяван като DEV-0569, използва Google Ads, за да разпространява наскоро открития ransomware royale.

Изследователи от екипа на Microsoft Security Threat Intelligence предупредиха, че оператор на заплаха, проследяван като DEV-0569, използва реклами от Google, за да разпространява различни полезни товари, включително това, което беше открито наскоро. Кралски рансъмуер.

Групата DEV-0569 прилага злонамерени рекламни кампании за разпространение на връзки към подписано средство за изтегляне на злонамерен софтуер, представящо се за фалшив софтуер за инсталиране или актуализации, вградени в спам съобщения, фалшиви форумни страници и коментари в блогове.

Злонамерени файлове, известни като BATLOADER, средства за изтегляне на злонамерен софтуер, се появяват като инсталатори или актуализации за законни приложения като Microsoft Teams или Zoom. чете Докладвай Публикувано от Microsoft. Когато се стартира, BATLOADER използва персонализирани MSI процедури, за да инициира злонамерена дейност на PowerShell или да изпълни пакетни скриптове, за да помогне При деактивиране на решения за сигурност Той доставя множество криптографски злонамерени полезни натоварвания, които се дешифрират и се изпълняват с команди на PowerShell.

DEV-0569 разчита до голяма степен на защитни техники за избягване и използва инструмент с отворен код Нсудо За да деактивирате антивирусните решения в последните кампании.

Инструмент за изтегляне, проследен като товарачТой споделя прилики с друг зловреден софтуер, наречен ZLoader.

От август до октомври 2022 г. DEV-0569 се опита да разпространи BATLOADER чрез злонамерени връзки във фишинг имейли, представени като легитимни инсталатори за няколко популярни приложения, включително TeamViewer, Adobe Flash Player, Zoom и AnyDesk.

BATLOADER се хоства в домейни, създадени от групата, за да се показват като законни сайтове за изтегляне на софтуер (напр Аз съм Диско[.]com) и в законни хранилища като GitHub и OneDrive.

Нападателите също са използвали файлови формати като виртуален твърд диск (VHD) като легитимен софтуер. VHD също съдържат злонамерени скриптове, които се използват за изтегляне на полезни данни DEV-0569.

Докладът продължава: „DEV-0569 използва различни вериги за инфекция на PowerShell и пакетни скриптове, които в крайна сметка доведоха до изтегляне на злонамерен софтуер, като крадци на информация или легитимен инструмент за отдалечено администриране, използван за запазване в мрежата.“ Инструментът за управление може също да бъде точка за достъп за организиране и разпространение на ransomware.

В края на октомври 2022 г. Microsoft забеляза злонамерена рекламна кампания, използваща Google Ads, препращаща към легитимната система за разпределение на трафик (TDS) на Keitaro, която позволява персонализиране на рекламна кампания чрез проследяване на рекламен трафик и филтриране, базирано на потребител или устройство. TDS се използва за пренасочване на потребителя към законен сайт за изтегляне или, при определени обстоятелства, към сайта, хостващ BATLOADER.

Използвах пакета DEV-0569 на Keitaro, за да доставя полезни натоварвания до конкретни IP диапазони и цели и, разбира се, за да избегна IP диапазони, за които е известно, че са свързани с решения за пясъчник.

Той също така задава групата, за която да служи Брокер за първоначален достъп За други процеси на рансъмуер, присъединете се към харесванията на зловреден софтуер като възбудаИ на IcedIDИ на Приклекнах.

„Тъй като фишинг схемата DEV-0569 злоупотребява със законни услуги, организациите също могат да се възползват Правила за потока на пощата За улавяне на подозрителни ключови думи или преглед на общи изключения, като тези за IP диапазони и списъци с разрешени за целия домейн. заключава ИТ гигантът „Овластяване Сигурни връзки За имейли, Microsoft Teams и Office Apps също могат да помогнат за справяне с тази заплаха.”

Последвай ме в Туйтър: @служител И на Facebook И на мастодонт

Пиерлуиджи Паганини

(Сигурност Хакване, DEV-0569)