Pikabot — це складний і модульний бекдор-троян, який вперше з’явився на початку 2023 року. Найпомітнішою його особливістю є здатність навантажувача доставляти корисні вантажі в поєднанні з передовими методами оборонного ухилення.
Використовуючи командно-контрольний сервер, зловмисник може віддалено взяти під контроль і виконувати різні команди, включаючи введення шелл-коду, DLL або виконуваних файлів. Автори Pikabot також реалізували кілька методів антианалізу, щоб запобігти автоматичному аналізу в пісочниці та дослідницьких середовищах. Сюди входять методи захисту від налагодження та захисту віртуальної машини, а також методи виявлення середовища ізольованого програмного середовища. За своїми кампаніями Pikabot подібний до трояна Quakbot через його шкідливі характеристики та стратегії розповсюдження.
Різні способи розподілу
Він поширюється через шкідливий спам, викрадення електронної пошти або шкідливу рекламу. Різні методи розповсюдження, такі як використання PDF-файлів у фішингових атаках, роблять Pikabot серйозною проблемою для аналітиків безпеки. Технічний аналіз розкриває складні методи ухилення Pikabot, механізми шифрування та моделі поведінки. Це модульне бекдорне шкідливе програмне забезпечення, яке атакує своїх жертв через спам-кампанії та викрадення електронної пошти за допомогою завантажувача та основного модуля. Завантажувач відповідає за завантаження основного компонента шкідливого програмного забезпечення в систему.
Pikabot виявився дуже небезпечним, оскільки він переслідує такі цілі, як майнінг криптовалют, встановлення шпигунського програмного забезпечення та програм-вимагачів, викрадення облікових даних і зручний дистанційний контроль скомпрометованих систем. Щоб адекватно протистояти зростаючій загрозі Pikabot, у компаніях слід запровадити найкращі практики безпеки:
- використання поточне програмне забезпечення безпеки
- kontinuierlich в Моніторинг мережевого трафіку
- безпечні пароліr і багатофакторна автентифікація
- регулярні тренування до усвідомлення безпеки
- систематичність Керування виправленнями
- регулярне резервне копіювання і створення плану реагування на інциденти.
Logpoint Converged SIEM надає комплексну платформу безпеки, яка забезпечує ефективне виявлення загроз і реагування на них. Завдяки можливостям EDR через власний агент AgentX і можливості SOAR він дає змогу автоматизовано розслідувати загрози та реагувати на такі складні загрози, як Pikabot.
Більше на Logpoint.com
Про Logpoint Logpoint є виробником надійної інноваційної платформи для операцій з кібербезпеки. Завдяки поєднанню передових технологій і глибокому розумінню викликів клієнтів, Logpoint зміцнює можливості команд безпеки та допомагає їм боротися з поточними та майбутніми загрозами. Logpoint пропонує технології безпеки SIEM, UEBA, SOAR і SAP, які об’єднуються в повну платформу, яка ефективно виявляє загрози, мінімізує помилкові спрацьовування, автономно визначає пріоритетність ризиків, реагує на інциденти тощо.
Статті по темі