Oι hackers Mysterious Werewolf στοχεύουν στρατιωτικές και βιομηχανικές εγκαταστάσεις, με phishing emails που περιέχουν ένα weaponized archive, για τη μόλυνση συσκευών με το RingSpy backdoor.

Το αρχείο περιέχει ένα φαινομενικά νόμιμο έγγραφο PDF μαζί με ένα κακόβουλο αρχείο CMD. Αν το θύμα ανοίξει το αρχείο και κάνει διπλό κλικ στο PDF, το αρχείο CMD θα εκτελεστεί, αναπτύσσοντας το RingSpy backdoor στο παραβιασμένο σύστημα.

Πώς λειτουργεί η επίθεση;

Τα phishing emails περιέχουν κακόβουλα αρχεία που εκμεταλλεύονται την ευπάθεια CVE-2023-38831 στο WinRAR, για την εκτέλεση κώδικα.

Δείτε επίσης: Backdoor στο XZ Utils Library επηρεάζει διανομές Linux

Το κακόβουλο αρχείο εκμεταλλεύεται την ευπάθεια για να ξεκινήσει ένα VBScript, κατεβάζοντας ένα κακόβουλο batch file (.vbs και 1.bat) από έναν σύνδεσμο λήψης από το Yandex.

Μέσα από μια περίπλοκη διαδικασία λήψης διαφόρων αρχείων, γίνεται η εγκατάσταση του RingSpy backdoor που είναι γραμμένο σε Python. Οι επιτιθέμενοι αξιοποιούν νόμιμες υπηρεσίες για να διατηρούν τον έλεγχο των παραβιασμένων συστημάτων, χρησιμοποιώντας ένα Telegram bot ως command and control server.

Δείτε επίσης: DinodasRAT: Νέα Linux έκδοση του backdoor

Το backdoor επιτρέπει την απομακρυσμένη εκτέλεση εντολών, τη λήψη αρχείων και την αποστολή αποτελεσμάτων στο Telegram bot. Το script μπορεί επίσης να προγραμματιστεί να εκτελείται κάθε λεπτό χρησιμοποιώντας το PowerShell.

Προστασία

Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από το RingSpy backdoor, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας

. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.

Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.

Δείτε επίσης: Οι Ιρανοί hackers Charming Kitten χρησιμοποιούν το νέο BASICSTAR backdoor

Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του RingSpy backdoor. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.

Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.

Πηγή: gbhackers.com