Эксперты Trend Micro подробно проанализировали тактику злоумышленников и сообщили, как избежать атаки.
Исследователи в области кибербезопасности компании Trend Micro проанализировали несколько инцидентов, связанных с внедрением вредоносной программы AsyncRAT. Злоумышленники использовали уязвимость легитимного процесса «aspnet_compiler.exe» от Microsoft, предназначенного для предварительной компиляции веб-приложений на платформе ASP.NET. Это позволило хакерам незаметно загружать вредоносный код.
AsyncRAT обладает различными возможностями удалённого доступа, такими как кейлоггинг, управление рабочим столом и скрытое изменение файлов. Это делает его мощным инструментом для проведения самых разных по направленности атак. В частности, в начале 2023 года эксперты Trend Micro обнаружили случаи использования AsyncRAT вместе с программами-вымогателями.
Во всех проанализированных инцидентах первым этапом атаки было скачивание пользователем запароленного ZIP-архива. Распаковав архив, жертва запускала вредоносный WSF-скрипт, который, в свою очередь, скачивал ещё один ZIP-архив с дополнительными скриптами AsyncRAT.
Эти скрипты в конечном итоге выполняли инъекцию полезной нагрузки AsyncRAT в процесс «aspnet_compiler.exe», что позволяло вредоносному ПО действовать скрытно, собирая такую информацию, как имена и пароли пользователей, данные о компьютере, наличие антивирусов и криптокошельков.
Исследовав исходный код AsyncRAT, эксперты обнаружили сходство с открытым репозиторием на GitHub. Однако вредоносный образец содержал дополнительные функции, из чего можно сделать вывод, что злоумышленники тонко настраивают открытый код под свои цели.
Как отмечают эксперты, использование динамических DNS-серверов позволяло злоумышленникам быстро менять IP-адреса и доменные имена серверов управления AsyncRAT. Это затрудняет их выявление и блокировку системами безопасности.
Специалисты Trend Micro рекомендуют организациям внедрить решения для непрерывного мониторинга и быстрого реагирования на инциденты кибербезопасности, чтобы обезопасить свои сети и устройства.
Кроме того, совсем не лишним будет отключить использование макросов и сценариев PowerShell/WSF/JS на компьютерах сотрудников, если они не должны пользоваться ими в рамках стандартных рабочих процессов. Да и в целом, на улучшение кибергигиены сотрудников стоит регулярно направлять время и ресурсы, в будущем это поможет сэкономить гораздо больше.
Гравитация научных фактов сильнее, чем вы думаете