В корпоративных и правительственных сетях обнаружен новый вредоносный бэкдор Buterat
Исследователи кибербезопасности из команды Lat61 Threat Intelligence Team компании Point Wild опубликовали новые результаты исследования крайне вредоносной операции Backdoor.Win32.Buterat . Программа предназначена для долгосрочного заражения, позволяя злоумышленникам взламывать сети, красть конфиденциальную информацию и внедрять дополнительные вредоносные инструменты.
После заражения целевого устройства (часто через фишинговое письмо или поддельную вредоносную загрузку) он скрывается внутри обычных системных процессов и вносит изменения в ключи реестра, чтобы пережить перезагрузку и остаться на месте.
По словам исследователей, бэкдор Buterat изначально был обнаружен в правительственных и корпоративных сетях. В своей записи в блоге, опубликованной на Hackread.com перед публикацией, исследователи отметили, что бэкдор Buterat использует продвинутые методы манипуляции процессами и потоками, такие как SetThreadContext и ResumeThread, для перехвата потока выполнения, избегая оповещений, которые обычно ищут системы безопасности.
Хуже того, Buterat также способен обходить системы аутентификации, используемые большинством устройств. Бэкдор взаимодействует с удалёнными командно-контрольными серверами (C2) по зашифрованным и скрытым каналам, что крайне затрудняет его обнаружение с помощью обычного мониторинга сети.
Во время тестирования в реальных условиях исследователи наблюдали, как вредоносная программа сбрасывает несколько вредоносных программ на зараженные системы. Файлы с именами вроде amhost.exe и bmhost.exe размещались в пользовательском каталоге Windows, каждый из которых играл свою роль в сохранении контроля и расширении возможностей злоумышленников, стоящих за этой операцией.
Затем последовали попытки связаться с сервером C2, размещенным на ginomp3.mooo.com , который выполняет функции удаленного центра управления для эксфильтрации и выполнения дополнительных команд.
Доктор Зульфикар Рамзан , технический директор Point Wild, подытожил ситуацию следующим предостережением: «Buterat говорит тихо, но носит большую дубинку. Этот бэкдор перехватывает легитимные потоки, маскируется под обычный процесс и тихонько связывается с домом».
Что же могут сделать компании для защиты своих систем от Buterat? Эксперты рекомендуют использовать защиту конечных точек, инструменты поведенческого анализа и сетевой мониторинг, особенно для выявления подозрительных доменов, подобных тому, что связан с бэкдором Buterat.
Обучение сотрудников и здравый смысл также играют ключевую роль в борьбе с вредоносным ПО и фишинговыми атаками. Поскольку фишинговые письма и вредоносные вложения остаются распространённым способом доставки, необходимо обучать сотрудников распознавать подозрительные сообщения. Ещё один шаг к ограничению риска — это предотвращение загрузки троянизированного ПО из непроверенных источников.
HackRead
