Apple Planet
  • REDAKCJA
  • WSPÓŁPRACA
  • POLITYKA PRYWATNOŚCI
No Result
View All Result
  • Apple
  • Sztuczna inteligencja AI
  • Smartfony
  • Nauka i technika
  • Komputery & Tablety
  • Security
  • Nowinki
    • Recenzje
    • Poradniki
    • iDared Serwis
      • Serwis iPhone
      • Serwis MacBook
      • Serwis Telefonów Samsung
      • Serwis Telefonów Xiaomi
sobota, 10 maja, 2025
  • Apple
  • Sztuczna inteligencja AI
  • Smartfony
  • Nauka i technika
  • Komputery & Tablety
  • Security
  • Nowinki
    • Recenzje
    • Poradniki
    • iDared Serwis
      • Serwis iPhone
      • Serwis MacBook
      • Serwis Telefonów Samsung
      • Serwis Telefonów Xiaomi
No Result
View All Result
Apple Planet
No Result
View All Result
Home Security

Atak na urzędników w Tajlandii: kampania Yokai Backdoor z wykorzystaniem technik ładowania bibliotek DLL

od Pan z ApplePlanet
14 grudnia, 2024
w Security
0
465
SHARES
1.5k
VIEWS
Udostępnij na FacebookuUdostępnij na Tweeterze

Nowy atak na tajlandzkich urzędników rządowych z wykorzystaniem backdoora Yokai

Tajlandzcy urzędnicy rządowi stali się celem nowej kampanii cyberataków, w której zastosowano technikę zwaną DLL side-loading. Ta metoda służy do dostarczenia wcześniej nieudokumentowanego backdoora o nazwie Yokai. Eksperci ds. bezpieczeństwa zidentyfikowali, że chociaż obecni celem ataku są głównie urzędnicy w Tajlandii, ten rodzaj zagrożenia może być potencjalnie wykorzystany przeciwko dowolnej grupie docelowej. Złożoność i skuteczność tych metod budzą poważne obawy w świecie cyberbezpieczeństwa.

Metoda ataku – zainfekowane pliki w archiwum RAR

Cała operacja rozpoczyna się od pliku archiwum RAR, zawierającego dwa skróty systemu Windows opisane w języku tajskim. Po przetłumaczeniu okazało się, że odnoszą się one do złożonych dokumentów, takich jak „Departament Sprawiedliwości USA.pdf” i „Wnioski rządu USA o międzynarodową współpracę w sprawach karnych.docx”. Podejrzenia, że archiwum jest narzędziem phishingowym, potwierdzają eksperci, którzy zauważają rosnącą tendencję wykorzystania takich technik.

Uruchomienie jednego z tych skrótów prowadzi do otwarcia dokumentów w formacie PDF i Word jako przynęty. W tle jednak cicho i niezauważenie jest uruchamiany złośliwy plik wykonywalny, realizujący właściwy cel ataku. Co ciekawe, przynęty odnoszą się do historycznej sprawy Worarita Mektrakarna – obywatela Tajlandii poszukiwanego w USA w związku z morderstwem z 2003 roku.

Techniczne aspekty ataku: mechanizm DLL side-loading

Głównym celem złośliwego oprogramowania jest dostarczenie trzech kluczowych plików na zainfekowany system: legalnego pliku binarnego aplikacji iTop Data Recovery („IdrInit.exe”), szkodliwego pliku DLL („ProductStatistics3.dll”) oraz pliku danych przesyłanych z kontrolowanego przez atakujących serwera. Szczególnie interesujące jest wykorzystanie „IdrInit.exe” do załadowania pliku DLL za pomocą techniki DLL side-loading, co ostatecznie prowadzi do aktywacji backdoora Yokai.

Yokai umożliwia intruzom ustanowienie trwałego połączenia z zainfekowanym komputerem. Dzięki temu mogą oni wydawać polecenia i wykonywać zdalne komendy powłoki (shell commands), otwierając pełny dostęp do zaatakowanej maszyny i jej zasobów.

Kolejne zagrożenia: NodeLoader i miner kryptowalut

Eksperci Zscaler ThreatLabz zwracają również uwagę na kampanię wykorzystującą złośliwe oprogramowanie NodeLoader. Malware to korzysta z kodu skompilowanego w Node.js dla Windows, aby instalować oprogramowanie do kopania kryptowalut, takie jak XMRig, oraz aplikacje kradnące dane, takie jak Lumma czy Phemedrone Stealer. Dystrybucja odbywa się za pomocą fałszywych opisów na platformach takich jak YouTube, które przekierowują użytkowników do archiwów ZIP ukrywających się pod postacią „hacków” do gier wideo.

Po rozpakowaniu pliku i zainicjowaniu procesu, pobierany jest skrypt PowerShell, który odpowiada za załadowanie ostatecznej wersji złośliwego oprogramowania. Co gorsza, atakujący wykorzystują również moduł sudo-prompt znany z npm, aby przeprowadzać eskalację uprawnień na zainfekowanych systemach.

Ewolucja Remcos RAT: nowe metody infekcji

Remcos RAT, popularne narzędzie zdalnego dostępu wykorzystywane w kampaniach phishingowych, również ewoluuje. Atakujący zaczęli stosować skrypty Visual Basic Script (VBS) oraz dokumenty Office Open XML jako początkowe wektory infekcji. W jednym z przypadków zainfekowane pliki prowadziły do wykonania obfuskowanego kodu PowerShell, co finalnie pozwalało na zainicjowanie złośliwych procesów w pamięci legalnych aplikacji bez zapisywania jakichkolwiek plików na dysku.

Technika ta ma na celu obejście systemów antywirusowych, które w wielu przypadkach opierają swoją detekcję na analizie plików zapisanych na dysku. Eksperci ostrzegają, że bez odpowiedniej czujności użytkowników i rozwiązań ochronnych, takie podejście może być niezwykle skuteczne.

Podsumowanie: pilna potrzeba proaktywnej ochrony

W miarę jak cyberprzestępcy doskonalą swoje metody, rośnie potrzeba proaktywnego podejścia do cyberbezpieczeństwa. Kampanie, takie jak te opisane powyżej, pokazują, jak złożone mogą być współczesne zagrożenia. Zarówno użytkownicy indywidualni, jak i organizacje muszą inwestować w zaawansowane narzędzia ochrony oraz edukację w zakresie identyfikacji potencjalnych ataków. Zrozumienie technik, takich jak DLL side-loading czy obfuskacja skryptów, może być kluczowe w minimalizowaniu ryzyka związanych z atakami malware.

Share186Tweet116
Poprzedni artykuł

Niemcy unieszkodliwiają malware BADBOX na 30 000 urządzeń dzięki akcji typu sinkhole

Następny artykuł

Kampania Yokai Backdoor wymierzona w tajskich urzędników – atak z wykorzystaniem techniki DLL Side-Loading

Następny artykuł
Kampania Yokai Backdoor wymierzona w tajskich urzędników - atak z wykorzystaniem techniki DLL Side-Loading

Kampania Yokai Backdoor wymierzona w tajskich urzędników - atak z wykorzystaniem techniki DLL Side-Loading

Zapraszamy

Polub nas i bądź na bieżąco

Ostatnie Wpisy

  • Premiera słuchawek Sony WH-1000XM6 już w przyszłym tygodniu 10 maja, 2025
  • Wyciekły pełne wymiary Samsunga Galaxy Z Fold7 – składany ekran z cieńszymi ramkami 10 maja, 2025
  • Samsung Galaxy Watch8 z nowym kształtem koperty – teraz bardziej zaokrąglony kwadrat 10 maja, 2025
  • Samsung Galaxy S25 FE może jednak otrzymać lepszy i wydajniejszy procesor 10 maja, 2025
  • Rozmowa z Jonym Ivem: o projektowaniu, Apple i odpowiedzialności twórców 10 maja, 2025

Informacje

  • Polityka prywatności
  • Redakcja
  • Współpraca
  • REDAKCJA
  • WSPÓŁPRACA
  • POLITYKA PRYWATNOŚCI

Welcome Back!

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist

No Result
View All Result
  • Apple
  • Sztuczna inteligencja AI
  • Smartfony
  • Nauka i technika
  • Komputery & Tablety
  • Security
  • Nowinki
    • Recenzje
    • Poradniki
    • iDared Serwis
      • Serwis iPhone
      • Serwis MacBook
      • Serwis Telefonów Samsung
      • Serwis Telefonów Xiaomi