Sicherheitsforscher haben ein russisch-orgin Remote Access-Tool gegraben, das durch schädliche (.LNK) Windows-Kurzbefehle als Ordner mit privaten Schlüsseln verteilt wird. Die Censys-Angriffs-Oberflächenverwaltungsplattform war diejenige, die die Alarm-Stimme über dieses benutzerdefinierte Set von Diensten in .NET gab, die mehrere Binaries zu stehlen Anmeldeinformationen, Tastatur Pulsationen, Entführung RDP-Sitzungen und erstellen Reverse Tunnels durch Fast Reverse Proxy (FRP). Für den Kontext und die Nachfolge der ursprünglichen Forschung ist der Forschungsbereich Censys auf Ihrem Blog verfügbar: https: / / censys.io / blog.
Der Eingabevektor ist einfach und effektiv aus der Sicht des Angreifers: eine .LNK-Datei mit einem harmlosen Look - im dokumentierten Fall hatte es einen Namen ähnlich wie "Private Key # kfxm7p9q _ yek.lnk" - verwendet das Symbol eines Ordners für das Opfer zum Doppelklick. Diese Geste löst eine Sequenz nach Stufen aus, in der jede Phase das nächste bis zum vollständigen Werkzeug defiguriert oder dekomprimiert. Der Dropper im direkten Zugriff ruft einen versteckt ausgeführten PowerShell-Befehl an, eliminiert frühere Persistenzmechanismen im Windows Start-Ordner und dekodiert im Speicher einen Blob, der in Base64 mit dem folgenden Ladegerät codiert ist.
Der folgende Manager testet die TCP-Konnektivität auf einen Remote-Server und lädt zusätzliche Komponenten herunter, während die Firewall-Regeln neu eingestellt werden, programmierte Aufgaben für Persistenz erstellt, lokale Back-Tür-Benutzer hinzufügt und einen cmd.exe-Server in einen bestimmten Port (5267) aufhebt, der über den FRP-Tunnel, der vom Angreifer betrieben wird, erreichbar ist. Die Durchführung des Tunnels basiert auf einer Go-schriftlichen Buchhandlung, die im Speicher injiziert wird, um Reverse-Kanäle sowohl RDP als auch TCP zu etablieren; das FRP-Projekt, das legitim für Tuned verwendet wird, wird in GitHub veröffentlicht und hilft, die Mechanismen zu verstehen, die es missbrauchen: https: / / github.com / fatedier / frp.
Eine der heruntergeladenen ausführbaren, als ctrl.exe identifiziert, fungiert als a . NET-Ladegerät und startet eine Managementplattform - die "CTRL Management Platform" -, die im Server- oder Client-Modus nach den Argumenten, mit denen es gestartet wird, arbeiten kann. Die Kommunikation von Befehl und Steuerung wird nicht als traditioneller abgehender Verkehr ausgeführt: Stattdessen erstellt das Tool ein benanntes Windows-Rohr (Name Pipe), um Aufträge lokal auszutauschen und delegiert alle Netzwerk-Interaktion auf eine einzige RDP-Sitzung übertragen durch den FRP-Tunnel. Das bedeutet, dass bis auf die RDP-Sitzung kaum C2-Beacons im Netzwerk vorhanden sind, die es konventionellen Erkennungen ermöglichen, den Eindringen zu erkennen., eine Taktik, die darauf abzielt, den forensischen Footprint in der Kommunikation zu reduzieren.
Die Funktionen des Pakets sind vielfältig und fett in seinem Design: Systeminformationserfassung, Ausführung eines Anmelde-Theft-Moduls, das das Windows Hello PIN-Verifikationsfenster simuliert, Installation eines Keyloggers, der alles erfasst und speichert es in C:\ Temp\ keylog. txt mittels eines Tastaturhakens und der Möglichkeit, "tast"-Typ-Benachrichtigungen anzuzeigen, die durch verschiedene Browser geleitet werden, um das Opfer zu induzieren, um Anmeldeinformationen einzugeben oder zusätzliche Gebühren auszuführen. Das Anmelde-Phishing-Modul wird als WPF-Anwendung mit einer Schnittstelle implementiert, die die PIN-Verifikation imitiert; es blockiert auch Tastaturkürzel wie Alt + Tab oder Alt + F4 und verwendet Schnittstellenautomatisierung (SendKeys) um die reale PIN parallel zu validieren und dennoch die betrügerische Eingabe bei der Produktion zu erfassen.
Das Arsenal wird durch zwei Schlüsselbindungen ergänzt: eine, die im Speicher die umgekehrte Tunnelkomponente (FRPWrapper.exe) lädt und eine, die gleichzeitige RDP-Sitzungen (RDPWrapper.exe) multiplizieren lässt. Censys betont, dass keine dieser Ausführbaren eingebettete Steueradressen umfassen, und dass alle Datenexfiltration durch den FRP-Tunnel beim Schreiben oder Lesen aus dem lokalen benannten Rohr durchgeführt wird, eine andere, nach operativem Ermessen ausgerichtete Designauswahl.
Dieser Fall ist nützlich, um einen Trend zu verstehen, den Analytiker beobachtet haben: benutzerdefinierte Werkzeuge, die von einzelnen oder kleinen Bedienern erstellt werden, dass priorisieren die Betriebssicherheit oben bietet einen umfangreichen Funktionskatalog. Durch die Konzentration der RDP-Kommunikation durch Reverse-Tunnel werden viele der Beaconing-Muster, die viele netzwerkbasierte Verteidigungslösungen erkennen, vermieden, was die Früherkennung erschwert.
Was kann getan werden, um das Risiko zu reduzieren und solche Bedrohungen zu erkennen? Die erste Barriere ist die Verhinderung von Betrug: mit Skeptizismus direkter Zugang per Post empfangen oder von unzuverlässigen Orten heruntergeladen zu behandeln und im Allgemeinen zu vermeiden, Dateien, deren Ursprung nicht überprüft wird. Auf technischer Ebene sollte überprüft werden, ob es unerwartete geplante Aufgaben, jüngste Änderungen der Firewall-Regeln, die Entstehung unbekannter lokaler Benutzer und das Vorhandensein ungewöhnlicher . NET-Prozesse; Tools wie Autouns und Sysinternals Process Explorer helfen, Rips und Prozesse zu untersuchen(Dokumentation: https: / / docs.microsoft.com / en-us / sysinternals / download / autoruns) Es ist auch umsichtig, die RDP-Konfiguration nach Microsoft-Leitungen zu bewerten und zu stärken, um nicht autorisierten Remote-Zugriff zu vermeiden: https: / / learn.microsoft.com / en-us / windows-server / remote / remote -desktop-services / rds-plan-security.
Von der Netzwerkerkennung, obwohl die Taktik RDP auf einem Tunnel verwendet, um Spuren zu minimieren, ist es möglich, nach indirekten Signalen zu suchen: ausgehende Verbindungen zu ungewöhnlichen FRP-Servern, Aktivität in ungewöhnlichen Ports, Übertragung von Dateien über Remote-Sitzungen, oder Erstellung von Steckdosen zu atypischen Ports durch Prozesse, die sie nicht öffnen sollten. In der Endpunktebene ist es angebracht, die Erstellung von benannten Rohren und das kontinuierliche Schreiben in temporären Schlüsselregistrierungsdateien zu überwachen sowie einen verbesserten Schutz vor der Ausführung von Skripten und Büro zu ermöglichen. Das MITRE ATT & CK-Framework bietet technische und taktische Beschreibungen, die dazu beitragen können, Erkennungen zu klassifizieren und zu priorisieren, beispielsweise in Bezug auf Keylogging und Benutzerausführung: https: / / attack.mitre.org / Techniken / T1056 / und https: / / attack.mitre.org / Techniken / T1204 /.
Schließlich sollte daran erinnert werden, dass legitime Technologien wie Windows Hello locken können, wenn ihre Schnittstelle von einem Angreifer emuliert wird. Um besser zu verstehen, wie Windows Hello funktioniert und warum Ihre IU supplantiert werden kann, bietet offizielle Dokumentation eine Überprüfung ihres Designs und der Schutze, die es bietet: https: / / learn.microsoft.com / en-us / windows / Sicherheit / Identitätsschutz / hello-for-Business / hello-overview.
Das Ergebnis zeigt, dass die Gegner weiterhin Methoden verfeinern, um unter dem Radar zu bleiben, und dass Sicherheitsteams Endpoint-Kontrollen, Netzwerküberwachung und Benutzerausbildung kombinieren müssen, um das Belichtungsfenster zu schließen. Die Kombination von Social Engineering (eine überzeugende .NK), Speicherausführung, stille Beharrlichkeit und Remote-Desktop abgestimmt ist effektiv und ohne Schichtabwehr-Ansatz schwierig zu erkennen, bis der Schaden bereits erledigt ist. Die Aufrechterhaltung aktueller Systeme, die die Belichtung von Remote-Diensten einschränken und die oben genannten Signale überwachen, können den Unterschied zwischen einem frustrierten Versuch und einem erfolgreichen Eindringen machen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...