Hackeri využívajúci modul Microsoft Build Engine na doručovanie škodlivého softvéru bez súborov

Aktéri hrozieb zneužívajú nástroj Microsoft Build Engine (MSBuild) na doručovanie trójskych koní na diaľku a škodlivého softvéru, ktorý kradne heslá. Windows systémov.

Aktívne prebiehajúca kampaň sa údajne objavila minulý mesiac, povedali vo štvrtok výskumníci z firmy Anomali pre kybernetickú bezpečnosť, pričom pridali škodlivé súbory zostavy so zakódovanými spustiteľnými súbormi a shell kódom, ktorý rozmiestňuje zadné vrátka, čo umožňuje protivníkom prevziať kontrolu nad strojmi obetí a ukradnúť ich. citlivé informácie.

MSBuild je open-source nástroj na zostavovanie pre .NET a Visual Studio vyvinutý spoločnosťou Microsoft, ktorý umožňuje kompiláciu zdrojového kódu, balenie, testovanie a nasadzovanie aplikácií.

Pri používaní MSBuild na kompromitáciu počítača bez súborov je cieľom zostať pod radarom a zmariť detekciu, pretože takýto malvér využíva legitímnu aplikáciu na načítanie útočného kódu do pamäte, čím nezanecháva v systéme žiadne stopy infekcie a poskytuje útočníkom vysoká úroveň utajenia.

V čase písania iba dvaja dodávatelia zabezpečenia označili jeden zo súborov MSBuild .proj (“vwnfmo.lnk”) ako škodlivý, zatiaľ čo druhá vzorka (“72214c84e2.proj”) nahraná do VirusTotal 18. apríla zostáva nerozpoznaná každým antimalwarom motora. Zistilo sa, že väčšina vzoriek analyzovaných spoločnosťou Anomali dodávala Remcos RAT, pričom niekoľko ďalších tiež dodávalo Quasar RAT a RedLine Stealer.

Remcos (aka softvér na diaľkové ovládanie a sledovanie) po nainštalovaní poskytuje úplný prístup k vzdialenému protivníkovi, jeho funkcie siahajú od zachytávania stlačenia klávesov až po vykonávanie ľubovoľných príkazov a nahrávanie mikrofónov a webových kamier, zatiaľ čo Quasar je open source .NET založený na RAT. keylogging, krádež hesiel a iné. Redline Stealer, ako už názov napovedá, je komoditný malvér, ktorý okrem kradnutia hesiel a peňaženiek spojených s kryptomenovými aplikáciami zbiera prihlasovacie údaje z prehliadačov, sietí VPN a klientov na odosielanie správ.

“Aktéri hrozieb, ktorí stoja za touto kampaňou, použili doručovanie bez súborov ako spôsob, ako obísť bezpečnostné opatrenia, a túto techniku ​​používajú aktéri na rôzne ciele a motivácie,” uviedli výskumníci z Anomali Tara Gould a Gage Mele. „Táto kampaň zdôrazňuje, že spoliehanie sa len na antivírusový softvér nestačí na kybernetickú obranu a používanie legitímneho kódu na skrytie malvéru pred antivírusovou technológiou je efektívne a exponenciálne rastie.“