Эти скрипты затем запускают загруженные PowerShell-скрипты и скачивают дополнительные файлы из облачных сервисов, включая исполняемые файлы в зависимости от настроек системы.
Последний PowerShell-скрипт загружает файлы с Google Drive на локальную систему в директорию ProgramData, выполняя их в зависимости от критериев, установленных злоумышленниками.
Также через «68904.tmp» загружается PowerShell-скрипт, способный выполнять сжатый бинарный файл напрямую из памяти, поддерживая подключение к серверу командного управления.
«Этот подход позволяет злоумышленникам оставаться незамеченными, встраивая вредоносные скрипты в обычные облачные платформы, обеспечивая постоянный доступ к целевым системам и используя эти платформы для эксфильтрации данных и выполнения команд», — заключили исследователи.
Исследователи Securonix сообщили, что пока не могут предоставить информацию о целях и масштабе кампании, так как расследование всё ещё продолжается.
Этот инцидент подчёркивает тенденцию злоумышленников использовать легитимные сервисы для скрытого проведения атак и демонстрирует их способности адаптироваться, применяя такие методы и техники, о которых даже опытные специалисты могут не догадываться.
Всё это требует от пользователей и компаний повышенного внимания к безопасности и необходимости регулярно обновлять свои системы и освежать технические знания для защиты от подобных киберугроз.
Источник
Нет комментариев