En av de efterföljande nyttolasterna som skickades till ett dussin organisationer var vad Kaspersky beskrev som en ”minimalistisk bakdörr.” Möjligheten att köra kommandon, ladda ner filer och köra skalkodsnyttolaster i minnet gör infektioner svåra att upptäcka.
Kaspersky Lab meddelade att de observerade en mer komplex bakdörr kallad QUIC RAT installerad på en maskin som ägs av en utbildningsinstitution i Ryssland. Inledande analys avslöjar att den kan injicera nyttolaster i notepad.exe- och conhost.exe-processerna och stöder olika C2-kommunikationsprotokoll inklusive HTTP, UDP, TCP, WSS, QUIC, DNS och HTTP/3.
De 100 infekterade organisationerna var huvudsakligen koncentrerade till Ryssland, Brasilien, Turkiet, Spanien, Tyskland, Frankrike, Italien och Kina. Kaspersky Labs synlighet för attacker är begränsad eftersom den enbart baseras på telemetri som tillhandahålls av dess egna produkter.
Kaspersky-forskare skrev:
Analyser visade att 10 % av de drabbade systemen tillhör företag och organisationer. Angriparna försökte infektera de flesta av de drabbade maskinerna med enbart informationssamlarens nyttolast. En annan, mer komplex bakdörrsnyttolast har dock bara observerats på mer än ett dussin maskiner hos statliga, vetenskapliga, tillverknings- och detaljhandelsorganisationer i Ryssland, Vitryssland och Thailand. Denna metod för att distribuera bakdörren till en liten delmängd av infekterade maskiner indikerar tydligt att angriparna hade för avsikt att utföra infektionen på ett riktat sätt. Men deras syfte, om det är cyberspionage eller ”storviltsjakt”, är för närvarande okänt.
De senaste attackerna i försörjningskedjan har riktats mot Trivy, Checkmarx och Bitwarden, och attackerat över 150 paket tillgängliga via arkiv med öppen källkod. Förra året var det minst sex sådana attacker.
Alla som använder Daemon Tools bör ta sig tid att skanna hela sin maskin med ett välrenommerat antivirusprogram. Windows-användare bör ytterligare leta efter indikatorer på kompromiss som anges i Kasperskys inlägg. Kaspersky Lab rekommenderar att mer tekniskt avancerade användare övervakar efter ”misstänkta kodinjektioner i legitima systemprocesser, särskilt om källan är en körbar fil som startas från en allmänt tillgänglig katalog som Temp, AppData eller Public.”
