Новый способ заразить всю сеть через принтер Canon

Хацкерская группировка UNC6384 выкатила новую кампанию и у неё довольно интересное техническое исполнение как атакующие используют доверие к легитимному софту для обхода защиты в корпоративных сетях.

Вся атака начинается с фишингового письма, содержащего вредоносный LNK-файл, замаскированный под какой-нибудь рабочий документ. Этот ярлык эксплуатирует свежую уязвимость в Windows (ZDI-CAN-25373), позволяющую незаметно выполнить команду. При клике на LNK-файл запускается обфусцированный PowerShell-скрипт. Он не качает зловред из сети, а извлекает из тела самого ярлыка TAR-архив и распаковывает его во временную папку.

В архиве лежат три файла: легитимный, подписанный цифровой подписью Canon исполняемый файл cnmpaui.exe (утилита-ассистент для принтера), вредоносная библиотека cnmpaui.dll и зашифрованный файл с полезной нагрузкой cnmplog.dat. При запуске cnmpaui.exe он, согласно стандартному поведению Windows, сначала ищет необходимую ему cnmpaui.dll в той же директории. Найдя вредоносную подделку, он ее загружает ?

После загрузки вредоносная DLL с помощью захардкоженного ключа RC4 расшифровывает файл cnmplog.dat и загружает прямо в память процесса cnmpaui.exe троян PlugX. В итоге зловред работает в памяти легитимного, подписанного вендором процесса, оставаясь невидимым для большинства EDR-решений, которые доверяют системным бинарникам. Для закрепления в системе создается ключ в автозагрузке реестра.

Даже тут принтеры - зло

Источник: vk.com

Комментарии: