Nowy atak na tajlandzkich urzędników rządowych z wykorzystaniem backdoora Yokai
Tajlandzcy urzędnicy rządowi stali się celem nowej kampanii cyberataków, w której zastosowano technikę zwaną DLL side-loading. Ta metoda służy do dostarczenia wcześniej nieudokumentowanego backdoora o nazwie Yokai. Eksperci ds. bezpieczeństwa zidentyfikowali, że chociaż obecni celem ataku są głównie urzędnicy w Tajlandii, ten rodzaj zagrożenia może być potencjalnie wykorzystany przeciwko dowolnej grupie docelowej. Złożoność i skuteczność tych metod budzą poważne obawy w świecie cyberbezpieczeństwa.
Metoda ataku – zainfekowane pliki w archiwum RAR
Cała operacja rozpoczyna się od pliku archiwum RAR, zawierającego dwa skróty systemu Windows opisane w języku tajskim. Po przetłumaczeniu okazało się, że odnoszą się one do złożonych dokumentów, takich jak „Departament Sprawiedliwości USA.pdf” i „Wnioski rządu USA o międzynarodową współpracę w sprawach karnych.docx”. Podejrzenia, że archiwum jest narzędziem phishingowym, potwierdzają eksperci, którzy zauważają rosnącą tendencję wykorzystania takich technik.
Uruchomienie jednego z tych skrótów prowadzi do otwarcia dokumentów w formacie PDF i Word jako przynęty. W tle jednak cicho i niezauważenie jest uruchamiany złośliwy plik wykonywalny, realizujący właściwy cel ataku. Co ciekawe, przynęty odnoszą się do historycznej sprawy Worarita Mektrakarna – obywatela Tajlandii poszukiwanego w USA w związku z morderstwem z 2003 roku.
Techniczne aspekty ataku: mechanizm DLL side-loading
Głównym celem złośliwego oprogramowania jest dostarczenie trzech kluczowych plików na zainfekowany system: legalnego pliku binarnego aplikacji iTop Data Recovery („IdrInit.exe”), szkodliwego pliku DLL („ProductStatistics3.dll”) oraz pliku danych przesyłanych z kontrolowanego przez atakujących serwera. Szczególnie interesujące jest wykorzystanie „IdrInit.exe” do załadowania pliku DLL za pomocą techniki DLL side-loading, co ostatecznie prowadzi do aktywacji backdoora Yokai.
Yokai umożliwia intruzom ustanowienie trwałego połączenia z zainfekowanym komputerem. Dzięki temu mogą oni wydawać polecenia i wykonywać zdalne komendy powłoki (shell commands), otwierając pełny dostęp do zaatakowanej maszyny i jej zasobów.
Kolejne zagrożenia: NodeLoader i miner kryptowalut
Eksperci Zscaler ThreatLabz zwracają również uwagę na kampanię wykorzystującą złośliwe oprogramowanie NodeLoader. Malware to korzysta z kodu skompilowanego w Node.js dla Windows, aby instalować oprogramowanie do kopania kryptowalut, takie jak XMRig, oraz aplikacje kradnące dane, takie jak Lumma czy Phemedrone Stealer. Dystrybucja odbywa się za pomocą fałszywych opisów na platformach takich jak YouTube, które przekierowują użytkowników do archiwów ZIP ukrywających się pod postacią „hacków” do gier wideo.
Po rozpakowaniu pliku i zainicjowaniu procesu, pobierany jest skrypt PowerShell, który odpowiada za załadowanie ostatecznej wersji złośliwego oprogramowania. Co gorsza, atakujący wykorzystują również moduł sudo-prompt znany z npm, aby przeprowadzać eskalację uprawnień na zainfekowanych systemach.
Ewolucja Remcos RAT: nowe metody infekcji
Remcos RAT, popularne narzędzie zdalnego dostępu wykorzystywane w kampaniach phishingowych, również ewoluuje. Atakujący zaczęli stosować skrypty Visual Basic Script (VBS) oraz dokumenty Office Open XML jako początkowe wektory infekcji. W jednym z przypadków zainfekowane pliki prowadziły do wykonania obfuskowanego kodu PowerShell, co finalnie pozwalało na zainicjowanie złośliwych procesów w pamięci legalnych aplikacji bez zapisywania jakichkolwiek plików na dysku.
Technika ta ma na celu obejście systemów antywirusowych, które w wielu przypadkach opierają swoją detekcję na analizie plików zapisanych na dysku. Eksperci ostrzegają, że bez odpowiedniej czujności użytkowników i rozwiązań ochronnych, takie podejście może być niezwykle skuteczne.
Podsumowanie: pilna potrzeba proaktywnej ochrony
W miarę jak cyberprzestępcy doskonalą swoje metody, rośnie potrzeba proaktywnego podejścia do cyberbezpieczeństwa. Kampanie, takie jak te opisane powyżej, pokazują, jak złożone mogą być współczesne zagrożenia. Zarówno użytkownicy indywidualni, jak i organizacje muszą inwestować w zaawansowane narzędzia ochrony oraz edukację w zakresie identyfikacji potencjalnych ataków. Zrozumienie technik, takich jak DLL side-loading czy obfuskacja skryptów, może być kluczowe w minimalizowaniu ryzyka związanych z atakami malware.
