Обнаружение и предотвращение атак RingSpy: анализ методов доставки и защиты

Анализ показал, что бэкдор RingSpy проникает в системы через фишинговые письма с вредоносными архивами, эксплуатируя уязвимость CVE-2023-38831 в WinRAR. После открытия архива загружается вредоносный код, что позволяет атакующим получить контроль над системой.
Обнаружение и предотвращение атак RingSpy: анализ методов доставки и защиты
Изображение носит иллюстративный характер

Для загрузки дополнительных модулей RingSpy использует утилиту curl и командлет Invoke-WebRequest, которые загружают файлы с внешних ресурсов. Это приводит к DNS-запросам и сетевым соединениям, которые можно отследить. Для маскировки активности, после выполнения задач, загруженные файлы удаляются с помощью командной строки.

RingSpy использует различные интерпретаторы команд и сценариев, включая Python, Visual Basic, Windows Command Shell и PowerShell. Бэкдор также использует Telegram для управления, отправляя команды и получая результаты через API Telegram. Для обеспечения постоянного доступа в скомпрометированной системе используются планировщик заданий Windows и автозагрузка.

Для защиты от атак RingSpy рекомендуется обновить WinRAR, быть осторожными с вложениями и использовать системы анализа событий, которые могут отслеживать загрузку файлов через curl и Invoke-WebRequest, активность скриптов WScript/CScript, запросы к API Telegram и изменения в планировщике задач и автозагрузке.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка