更多全球网络安全资讯尽在邑安全
俄罗斯的几个国家和主要工业组织受到基于 Go 的定制后门的攻击,该后门执行数据盗窃,可能有助于间谍活动。
卡巴斯基于 2023 年 6 月首次检测到该活动,而在 8 月中旬,该网络安全公司发现了新版本的后门,该后门引入了更好的规避功能,表明攻击正在进行优化。
负责此次活动的威胁行为者尚不清楚,卡巴斯基仅限于共享可以帮助防御者阻止攻击的妥协指标。
恶意 ARJ 档案
攻击从一封包含名为“finansovyy_kontrol_2023_180529.rar”(财务控制)的恶意 ARJ 存档的电子邮件开始,该存档是 Nullsoft 存档可执行文件。
该档案包含一个用于分散受害者注意力的诱饵 PDF 文档和一个 NSIS 脚本,该脚本从外部 URL 地址 (fas-gov-ru[.]com) 获取主要有效负载并启动它。
恶意软件负载以“UsrRunVGA.exe”的形式放置在“C:ProgramDataMicrosoftDeviceSync”处。
来源:卡巴斯基
卡巴斯基表示,同一网络钓鱼浪潮还传播了两个名为“Netrunner”和“Dmcserv”的后门。这些是具有不同 C2(命令和控制)服务器配置的相同恶意软件。
该脚本在隐藏窗口中启动恶意可执行文件,并添加“开始”菜单链接以建立持久性。
来源:卡巴斯基
后门的功能包括以下内容:
-
列出指定目录中的文件和文件夹。
-
将文件从主机传输(渗透)到 C2。
-
获取剪贴板内容。
-
抓取桌面屏幕截图。
-
在磁盘中搜索特定扩展名的文件(.doc、.docx、.pdf、.xls、.xlsx、.ppt、.pptx、.zip、.rar、.7z、.odt、.ods、.kdbx、.ovpn、 .pem、.crt、.key)并将它们传输到 C2。
发送到 C2 服务器的所有数据首先经过 AES 加密,以逃避网络监控解决方案的检测。
为了逃避分析,恶意软件会执行用户名、系统名称和目录检查,以检测它是否在虚拟化环境中运行,如果运行则退出。
这些检查的结果会在感染的初始阶段发送到 C2,用于受害者分析。
来源:卡巴斯基
新版本窃取密码
8 月中旬,卡巴斯基发现了后门的新变种,该变种进行了一些细微的更改,例如删除了一些嘈杂的初步检查并添加了新的文件窃取功能。
最值得注意的是,新版本添加了一个针对存储在 27 个网络浏览器和 Thunderbird 电子邮件客户端中的用户密码的模块。
最新后门版本的目标浏览器包括 Chrome、Firefox、Edge、Opera、Brave、Vivaldi 和 Yandex(俄罗斯流行且值得信赖的浏览器)。
该恶意软件版本更新了 AES 密钥,并添加了 RSA 非对称加密来保护客户端 C2 命令和参数通信。
原文来自: bleepingcomputer.com
原文链接:https://www.bleepingcomputer.com/news/security/hackers-backdoor-russian-state-industrial-orgs-for-data-theft/
推荐文章
1
2
原文始发于微信公众号(邑安全):黑客利用俄罗斯国家和工业组织后门窃取数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论