Согласно новому отчету Cisco Talos, в период с марта по июнь 2022 года было проведено 3 отдельных, но связанных друг с другом кампании, в ходе которых на скомпрометированные системы были доставлены различные вредоносные программы, в том числе ModernLoader, RedLine Stealer и криптомайнеры.
Хакеры использовали PowerShell, сборки .NET, а также файлы HTA и VBS для распространения по целевой сети, в конечном итоге доставляя трояны SystemBC и DCRat , чтобы осуществить различные этапы своих операций.
Рассматриваемый вредоносный имплант ModernLoader предназначен для удаленного контроля над компьютером жертвы, что позволяет злоумышленнику развертывать дополнительные вредоносные программы, красть конфиденциальную информацию или даже внедрить компьютер в ботнет.
Cisco Talos приписала заражение ранее не зарегистрированному русскоязычному субъекту угрозы, сославшись на использование готовых инструментов. Потенциальные цели включали пользователей из Болгарии, Польши, Венгрии и России.
Цепочки заражения включают попытки взлома уязвимых веб-приложений WordPress и CPanel для распространения вредоносного ПО с помощью файлов, которые маскируются под поддельные подарочные карты Amazon.
Цепочка заражения ModernLoader
Полезная нагрузка первого этапа представляет собой HTA-файл (HTML Application), который запускает сценарий PowerShell, размещенный на сервере управления и контроля (C&С), чтобы инициировать развертывание промежуточных полезных нагрузок. Эти нагрузки затем внедряют вредоносное ПО с помощью метода подмены процессов ( выдалбливания процессов , Process Hollowing).
Источник: SecurityLab