来自Fortinet的研究人员观察到了一种名为Bandook的远程访问木马的新变种,该木马已被用于针对Windows用户的网络钓鱼攻击。Bandook自2007年以来一直活跃,一直在不断发展,并曾被不同威胁行为者用于多次攻击活动。
今年10月观察到的新变种通过一个包含缩短网址的PDF文件进行传播,该网址可下载一个受密码保护的.7z文件。从归档文件中提取恶意代码后,该注入器会将其有效载荷注入msinfo32.exe。注入器会在资源表中解密有效负载并将其注入msinfo32.exe。在注入之前,有效负载的行为由创建的注册表键确定。
Fortinet发布的分析报告指出:“一旦注入,有效负载会初始化注册表、标志、API等的键名称字符串。然后,它使用注入的msinfo32.exe的PID查找注册表键,然后解码和解析键值以执行由控制代码指定的任务。”Bandook RAT有效负载支持139个操作,其中大部分在先前的变体中已经实现。最近的变种包括额外的C2通信命令。Bandook支持常见功能,如文件操作、注册表操作、下载、信息窃取、文件执行、从C2调用dll中的函数、控制受害者的计算机、进程终止和卸载恶意软件。
报告总结道:“在这种恶意软件中可以找到大量用于C2通信的命令。然而,有效负载执行的任务比命令数量少。这是因为多个命令用于单个操作,部分命令调用其他模块中的函数,而有些命令仅用于响应服务器。”FortiGuard将继续监视恶意软件变种并提供适当的保护措施。
原文始发于微信公众号(黑猫安全):长期存在的Bandook RAT定位于Windows计算机
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论