Złośliwe oprogramowanie typu downloader JavaScript, znane jako SocGholish (lub FakeUpdates), jest wykorzystywane do dostarczania trojana zdalnego dostępu o nazwie AsyncRAT, a także do instalowania legalnego projektu open-source o nazwie BOINC.
22.07.2024
Czym jest BOINC?
BOINC, czyli Berkeley Open Infrastructure Network Computing Client, to otwartoźródłowa platforma „obliczeń ochotniczych” utrzymywana przez Uniwersytet Kalifornijski. Jej celem jest przeprowadzanie „wielkoskalowych, rozproszonych obliczeń wysokoprzepustowych” przy użyciu domowych komputerów, na których zainstalowano aplikację.
Mechanizm Działania
„To jest podobne do koparki kryptowalut w ten sposób, że używa zasobów komputera do wykonywania pracy. BOINC nagradza użytkowników kryptowalutą o nazwie Gridcoin, która została stworzona do tego celu” – wyjaśnili badacze z firmy Huntress, Matt Anderson, Alden Schmidt i Greg Linares w raporcie opublikowanym w zeszłym tygodniu.
Zagrożenia Cyberbezpieczeństwa
Te złośliwe instalacje są zaprojektowane do łączenia się z domeną kontrolowaną przez atakującego („rosettahome[.]cn” lub „rosettahome[.]top”), działając jako serwer dowodzenia i kontroli (C2), aby zbierać dane z hostów, przesyłać ładunki oraz wydawać dalsze polecenia. Na dzień 15 lipca, 10,032 klientów jest połączonych z tymi dwoma domenami.
Firma zajmująca się bezpieczeństwem cybernetycznym stwierdziła, że choć nie zaobserwowała żadnej dalszej aktywności ani zadań wykonywanych przez zainfekowane hosty, hipotetyzuje, że „połączenia hostów mogą być sprzedawane jako początkowe wektory dostępu do wykorzystania przez innych aktorów, potencjalnie do przeprowadzenia ataków typu ransomware.”
Proces Ataku
Sekwencje ataków SocGholish zazwyczaj rozpoczynają się, gdy użytkownicy trafiają na zainfekowane strony internetowe, gdzie są zachęcani do pobrania fałszywej aktualizacji przeglądarki, która po wykonaniu uruchamia dodatkowe ładunki na zainfekowanych maszynach.
W tym przypadku downloader JavaScript aktywuje dwa niezależne łańcuchy, jeden prowadzący do wdrożenia wariantu AsyncRAT bez plików, a drugi do instalacji BOINC.
Ukrywanie Złośliwego Oprogramowania
Aplikacja BOINC, przemianowana na „SecurityHealthService.exe” lub „trustedinstaller.exe” w celu uniknięcia wykrycia, ustawia trwałość za pomocą zadania harmonogramu uruchamianego skryptem PowerShell.
Reakcja Projektu BOINC
Projekt BOINC nie pozostał obojętny na wykorzystywanie jego platformy do celów złośliwych. Obecnie trwają prace nad zidentyfikowaniem problemu i znalezieniem sposobu na „pokonanie tego złośliwego oprogramowania.” Dowody na nadużycie datowane są przynajmniej od 26 czerwca 2024 roku.
Niejasne Motywy
„Motywacja i intencje aktora zagrożeń przy ładowaniu tego oprogramowania na zainfekowane hosty nie są jasne w tym momencie” – stwierdzili badacze.
„Zainfekowane klienty aktywnie łączące się z złośliwymi serwerami BOINC stanowią dość wysokie ryzyko, ponieważ istnieje potencjał dla zmotywowanego aktora zagrożeń do nadużycia tego połączenia i wykonania dowolnej liczby złośliwych poleceń lub oprogramowania na hoście, aby dalej eskalować uprawnienia lub poruszać się lateralnie przez sieć i kompromitować całą domenę.”
Rozwój Technologii Złośliwego Oprogramowania
W międzyczasie firma Check Point poinformowała, że śledzi wykorzystanie skompilowanego JavaScript V8 przez twórców złośliwego oprogramowania w celu ominięcia statycznych wykryć i ukrywania trojanów zdalnego dostępu, stealerów, loaderów, koparek kryptowalut, wiperów i ransomware.
„W trwającej walce między ekspertami ds. bezpieczeństwa a aktorami zagrożeń, twórcy złośliwego oprogramowania ciągle wymyślają nowe sztuczki, aby ukryć swoje ataki” – powiedział badacz bezpieczeństwa Moshe Marelus. „Nie jest zaskoczeniem, że zaczęli używać V8, ponieważ ta technologia jest powszechnie używana do tworzenia oprogramowania i jest bardzo trudna do analizy.”
Źródła i przydatne linki
https://thehackernews.com/2024/07/socgholish-malware-exploits-boinc.html
Dawid Lis
Dawid Lis, Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa w firmie Advatech, to absolwent renomowanego Wydziału Elektroniki Politechniki Wrocławskiej. Jego pasja do cyberbezpieczeństwa rozpoczęła się w 2021 roku, kiedy to rozpoczął swoją profesjonalną karierę w tej dziedzinie.
Jako Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa, Dawid kieruje się głównie audytami i testami, które mają na celu sprawdzenie oraz wzmocnienie zabezpieczeń systemów. Jego zaangażowanie w tę dziedzinę nie kończy się na środowisku zawodowym – aktywnie dzieli się swoją wiedzą i doświadczeniem na platformach społecznościowych, zachęcając zarówno osoby techniczne, jak i nietechniczne do podnoszenia świadomości w obszarze cyberbezpieczeństwa.
Dawidowi zależy na tym, aby przekazywać zdobytą wiedzę w sposób przystępny i atrakcyjny, aby zainteresować jak największą liczbę osób. Jego naczelną misją jest edukacja w świecie cyfrowym, który uważa za kluczowy obszar współczesnej rzeczywistości. Poza pracą zawodową, Dawid pasjonuje się rozwiązywaniem CTF-ów (Capture The Flag), widząc w nich zarówno wyzwanie, jak i fascynującą zabawę.