Анализ показал, что бэкдор RingSpy проникает в системы через фишинговые письма с вредоносными архивами, эксплуатируя уязвимость CVE-2023-38831 в WinRAR. После открытия архива загружается вредоносный код, что позволяет атакующим получить контроль над системой.
Для загрузки дополнительных модулей RingSpy использует утилиту curl и командлет Invoke-WebRequest, которые загружают файлы с внешних ресурсов. Это приводит к DNS-запросам и сетевым соединениям, которые можно отследить. Для маскировки активности, после выполнения задач, загруженные файлы удаляются с помощью командной строки.
RingSpy использует различные интерпретаторы команд и сценариев, включая Python, Visual Basic, Windows Command Shell и PowerShell. Бэкдор также использует Telegram для управления, отправляя команды и получая результаты через API Telegram. Для обеспечения постоянного доступа в скомпрометированной системе используются планировщик заданий Windows и автозагрузка.
Для защиты от атак RingSpy рекомендуется обновить WinRAR, быть осторожными с вложениями и использовать системы анализа событий, которые могут отслеживать загрузку файлов через curl и Invoke-WebRequest, активность скриптов WScript/CScript, запросы к API Telegram и изменения в планировщике задач и автозагрузке.
Изображение носит иллюстративный характер
Для загрузки дополнительных модулей RingSpy использует утилиту curl и командлет Invoke-WebRequest, которые загружают файлы с внешних ресурсов. Это приводит к DNS-запросам и сетевым соединениям, которые можно отследить. Для маскировки активности, после выполнения задач, загруженные файлы удаляются с помощью командной строки.
RingSpy использует различные интерпретаторы команд и сценариев, включая Python, Visual Basic, Windows Command Shell и PowerShell. Бэкдор также использует Telegram для управления, отправляя команды и получая результаты через API Telegram. Для обеспечения постоянного доступа в скомпрометированной системе используются планировщик заданий Windows и автозагрузка.
Для защиты от атак RingSpy рекомендуется обновить WinRAR, быть осторожными с вложениями и использовать системы анализа событий, которые могут отслеживать загрузку файлов через curl и Invoke-WebRequest, активность скриптов WScript/CScript, запросы к API Telegram и изменения в планировщике задач и автозагрузке.
