关键词
固件rootkit、勒索软件、APT
VileRAT 感染链如下:
DeathStalker的业务范围包括职业调查、资产追回、在诉讼或仲裁案件中收集信息、帮助客户逃脱制裁、监视目标客户等,然而,这似乎不是直接的财政收益,DeathStalker针对这些组织的真实意图依然不为人知。
-
首先,攻击者向潜在受害者发送钓鱼电子邮件,诱使其下载其他文件。 -
如果受害者点击链接,则连接第一阶段C2服务器,同时将邮箱地址作为参数传递给C2。 -
第一阶段C2服务器会验证传入的邮箱地址参数,如果此邮箱地址在目标列表中,就会回传恶意文档。第一阶段脚本还将受害者的IP地址转发到下一阶段服务器。 -
当目标打开获取到的文档时,它将连接到第二阶段C2服务器。第二阶段C2服务器上的对应脚本检查从第一阶段服务器转发的IP地址,以验证它是否是来自同一受害者的预期请求。 -
除此之外,攻击者会使用其他多个进程传递下一阶段的攻击载荷。 -
第二阶段C2服务器上的另一个C2脚本检查操作系统类型和预定义的用户代理字符串,以过滤出来自安全研究人员或自动分析系统的请求。
安全人员的研究强调了Kimsuky如何确认受害者并向他们提供下一阶段有效载荷,同时采取措施使安全人员的分析变得困难。
一旦获得初始访问权,攻击者就试图横向移动到网络上的其他计算机。获得域管理员权限后,他们将搜索并将敏感数据传送到托管在不同国家的服务器,这些服务器也用作第一阶段C2服务器。攻击者将盗取的机密文件压缩到加密保护的ZIP中。收到数据后,第一阶段C2服务器将该压缩文件转发至第二阶段服务器。
编辑|黄禧敏
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):2022年第3季度IT威胁演变
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论