黑客利用俄罗斯国家和工业组织后门窃取数据

俄罗斯的几个国家和主要工业组织受到基于 Go 的定制后门的攻击，该后门执行数据盗窃，可能有助于间谍活动。

卡巴斯基于 2023 年 6 月首次检测到该活动，而在 8 月中旬，该网络安全公司发现了新版本的后门，该后门引入了更好的规避功能，表明攻击正在进行优化。

负责此次活动的威胁行为者尚不清楚，卡巴斯基仅限于共享可以帮助防御者阻止攻击的妥协指标。

恶意 ARJ 档案

攻击从一封包含名为“finansovyy_kontrol_2023_180529.rar”（财务控制）的恶意 ARJ 存档的电子邮件开始，该存档是 Nullsoft 存档可执行文件。

该档案包含一个用于分散受害者注意力的诱饵 PDF 文档和一个 NSIS 脚本，该脚本从外部 URL 地址 (fas-gov-ru[.]com) 获取主要有效负载并启动它。

恶意软件负载以“UsrRunVGA.exe”的形式放置在“C:ProgramDataMicrosoftDeviceSync”处。

卡巴斯基表示，同一网络钓鱼浪潮还传播了两个名为“Netrunner”和“Dmcserv”的后门。这些是具有不同 C2（命令和控制）服务器配置的相同恶意软件。

该脚本在隐藏窗口中启动恶意可执行文件，并添加“开始”菜单链接以建立持久性。

后门的功能包括以下内容：

• 列出指定目录中的文件和文件夹。

• 将文件从主机传输（渗透）到 C2。

• 获取剪贴板内容。

• 抓取桌面屏幕截图。

• 在磁盘中搜索特定扩展名的文件（.doc、.docx、.pdf、.xls、.xlsx、.ppt、.pptx、.zip、.rar、.7z、.odt、.ods、.kdbx、.ovpn、 .pem、.crt、.key）并将它们传输到 C2。

发送到 C2 服务器的所有数据首先经过 AES 加密，以逃避网络监控解决方案的检测。

为了逃避分析，恶意软件会执行用户名、系统名称和目录检查，以检测它是否在虚拟化环境中运行，如果运行则退出。

这些检查的结果会在感染的初始阶段发送到 C2，用于受害者分析。

新版本窃取密码

8 月中旬，卡巴斯基发现了后门的新变种，该变种进行了一些细微的更改，例如删除了一些嘈杂的初步检查并添加了新的文件窃取功能。

最值得注意的是，新版本添加了一个针对存储在 27 个网络浏览器和 Thunderbird 电子邮件客户端中的用户密码的模块。

最新后门版本的目标浏览器包括 Chrome、Firefox、Edge、Opera、Brave、Vivaldi 和 Yandex（俄罗斯流行且值得信赖的浏览器）。

该恶意软件版本更新了 AES 密钥，并添加了 RSA 非对称加密来保护客户端 C2 命令和参数通信。

原文来自: bleepingcomputer.com