新型隐秘恶意软件BabbleLoader针对寻找破解财务软件的商务专业人士

admin 2024年11月20日13:39:47评论6 views字数 5827阅读19分25秒阅读模式

导 

网络安全研究人员发现了一种名为 BabbleLoader 的新型隐秘恶意软件加载器,该加载器已被观察到在野外提供WhiteSnake和Meduza等信息窃取木马。

新型隐秘恶意软件BabbleLoader针对寻找破解财务软件的商务专业人士

Intezer 安全研究员 Ryan Robinson在周日发布的一份报告中表示, BabbleLoader 是一种“极具规避性的加载器,配备了多种防御机制,旨在绕过防病毒和沙盒环境,将窃取程序传送到内存中”。

证据表明,该加载程序被用于针对英语和俄语个人的几项活动,主要通过将其伪装成会计软件来针对寻找通用破解软件的用户以及金融和行政管理领域的商业专业人士。

加载器已经成为一种越来越流行的传播恶意软件(如窃取程序或勒索软件)的方法,它通常充当攻击链的第一阶段,通过结合一系列反分析和反沙盒功能来绕过传统的防病毒防御措施。

近年来不断涌现的新加载器家族就是明证。其中包括但不限于Dolphin Loader、Emmenhtal、FakeBat和Hijack Loader等,它们被用来传播各种有效载荷,如 CryptBot、Lumma Stealer、SectopRAT、SmokeLoader和 Ursnif。

BabbleLoader 的突出之处在于它集成了各种规避技术,可以欺骗传统和基于 AI 的检测系统。这包括使用垃圾代码和变形转换来修改加载器的结构和流程,以绕过基于签名和行为的检测。

它还通过仅在运行时解析必要的函数来绕过静态分析,同时采取措施阻止沙盒环境中的分析。此外,过多添加无意义、嘈杂的代码会导致 IDA、Ghidra 和 Binary Ninja 等反汇编或反编译工具崩溃,从而迫使进行手动分析。

“加载器的每个版本都有独特的字符串、独特的元数据、独特的代码、独特的哈希值、独特的加密和独特的控制流。”罗宾逊说。“每个样本的结构都是独一无二的,只有几段共享的代码。甚至每个样本的文件元数据都是随机的。”

“代码结构的不断变化迫使人工智能模型不断地重新学习要寻找的内容——这个过程常常导致漏检或误报。”

加载器的核心是负责加载 shellcode,然后为解密代码铺平道路,Donut 加载器则解压并执行窃取恶意软件。

“加载器对最终有效载荷的保护越好,威胁组织需要花费的资源就越少,以轮换被摧毁的基础设施。”罗宾逊总结道。“BabbleLoader 采取措施,尽可能多地防范各种形式的检测,以便在拥挤的加载器/加密器市场中竞争。”

这一进展是在 Rapid7 详细介绍了一项新的恶意软件活动时发生的,该活动分发了新版本的LodaRAT,该病毒能够窃取 Microsoft Edge 和 Brave 的 cookie 和密码,此外还能收集各种敏感数据、传播更多恶意软件并授予对受感染主机的远程控制权。该病毒自 2016 年 9 月以来一直活跃。

Rapid7 表示,“发现 Donut loader 和 Cobalt Strike 正在分发新版本”,并且“在感染了其他恶意软件家族(如 AsyncRAT、Remcos、XWorm 等)的系统上观察到了 LodaRAT”。这些感染之间的确切关系仍不清楚。

此前还发现了基于 njRAT 的新恶意软件Mr.Skeleton RAT,该恶意软件已在网络犯罪论坛中传播,具有“远程访问和桌面操作、文件/文件夹和注册表操作、远程 shell 执行、键盘记录以及设备摄像头的远程控制”功能。

技术报告:

https://intezer.com/blog/research/babble-babble-babble-babble-babble-babble-babbleloader/

https://www.rapid7.com/blog/post/2024/11/12/lodarat-established-malware-new-victim-patterns/

新闻链接:

https://thehackernews.com/2024/11/new-stealthy-babbleloader-malware.html

新型隐秘恶意软件BabbleLoader针对寻找破解财务软件的商务专业人士

今日安全资讯速递

APT事件

Advanced Persistent Threat

WhatsApp 的诉讼文件中详细记录了 1,400 起 Pegasus 间谍软件感染事件

https://therecord.media/pegasus-spyware-infections-detailed-whatsapp-lawsuit

匈牙利确认国防采购机构遭黑客攻击

https://therecord.media/hungary-defense-procurement-agency-hacked

BrazenBamboo APT 利用 FortiClient 零日漏洞窃取用户凭证

https://cybersecuritynews.com/brazenbamboo-apt-forticlient-zero-day/

APT 组织 DONOT 对巴基斯坦海事和国防工业发起网络攻击

https://thecyberexpress.com/apt-group-donot-targets-pakistan/

DeepData 恶意软件框架被发现利用尚未修补的 Windows 0day漏洞 Fortinet VPN 客户端

https://www.securityweek.com/fortinet-vpn-zero-day-exploited-in-malware-attacks-remains-unpatched-report/

黑客利用 T-Mobile 和其他美国电信公司开展间谍活动

https://thehackernews.com/2024/11/chinese-hackers-exploit-t-mobile-and.html

FrostyGoop 的放大:仔细观察恶意软件工件、行为和网络通信

https://unit42.paloaltonetworks.com/frostygoop-malware-analysis/

一般威胁事件

General Threat Incidents

新型隐秘恶意软件 BabbleLoader 被发现传播 WhiteSnake 和 Meduza 信息窃取木马

https://thehackernews.com/2024/11/new-stealthy-babbleloader-malware.html

新的“Helldown”勒索软件变种将攻击范围扩大到 VMware 和 Linux 系统

https://thehackernews.com/2024/11/new-helldown-ransomware-expands-attacks.html

Ngioweb 僵尸网络助长 NSOCKS 住宅代理网络利用物联网设备

https://thehackernews.com/2024/11/ngioweb-botnet-fuels-nsocks-residential.html

黑客劫持不安全的 Jupyter Notebook 来播放非法体育广播

https://thehackernews.com/2024/11/hackers-hijack-unsecured-jupyter.html

福特汽车调查客户数据泄露事件

https://www.bleepingcomputer.com/news/security/ford-investgates-alleged-breach-following-customer-data-leak/

美国太空科技巨头 Maxar 披露员工数据泄露事件

https://www.bleepingcomputer.com/news/security/us-space-tech-giant-maxar-discloses-employee-data-breach/

虚假折扣网站利用黑色星期五盗取购物者信息

https://thehackernews.com/2024/11/fake-discount-sites-exploit-black.html

Spotify 被滥用来推广盗版软件和游戏作弊行为

https://www.bleepingcomputer.com/news/security/spotify-abused-to-promote-pirated-software-and-game-cheats/

Facebook 恶意广告活动通过假 Bitwarden 更新传播Chrome恶意插件

https://hackread.com/facebook-malvertising-malware-via-fake-bitwarden/

俄克拉荷马医疗中心遭勒索软件攻击,影响 133,000 人

https://www.securityweek.com/ransomware-attack-on-oklahoma-medical-center-impacts-133000/

美国联合药房据称遭 Embargo 勒索软件攻击

https://www.scworld.com/brief/american-associated-pharmacies-allegedly-breached-by-embargo-ransomware-1

2024 年医疗保健行业遭遇 264 次勒索软件攻击

https://www.medicalbuyer.co.in/healthcare-sector-witnesses-264-ransomware-attacks-in-2024/

美国国会图书馆称黑客入侵部分电子邮件

https://www.securityweek.com/library-of-congress-says-an-adversary-hacked-some-emails/

英国软件公司 Microlise 证实黑客窃取了公司数据

https://therecord.media/microlise-british-software-company-data-breach

瑞士网络机构警告称恶意软件正通过邮政快递传播

https://therecord.media/malware-delivered-by-mail-swiss-cyber-agency

网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测

https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/

美国政府机构遭 DocuSign 恶意网络钓鱼诈骗

https://hackread.com/us-govt-agencies-impersonate-docusign-phishing-scams/

网络犯罪分子利用 Strela Stealer 恶意软件瞄准西班牙、德国和乌克兰受害者

https://therecord.media/cybercriminals-taget-spain-germany-ukraine-strela-stealer-malware

网络钓鱼攻击利用 Microsoft Visio 文件和 SharePoint

https://blog.knowbe4.com/phishing-attacks-exploit-microsoft-visio-files

漏洞事件

Vulnerability Incidents

Apple 确认 macOS 系统遭受0day漏洞攻击

https://www.securityweek.com/apple-confirms-zero-day-attacks-hitting-intel-based-macs/

Oracle 警告 Agile PLM 文件泄露漏洞可能被利用

https://www.bleepingcomputer.com/news/security/oracle-warns-of-agile-plm-file-disclosure-flaw-exploited-in-attacks/

D-Link 敦促用户淘汰受未修复 RCE 漏洞影响的 VPN 路由器

https://www.bleepingcomputer.com/news/security/d-link-urges-users-to-retire-vpn-routers-impacted-by-unfixed-rce-flaw/

严重的 Windows Kerberos 漏洞导致数百万台服务器遭受攻击

https://hackread.com/windows-kerberos-flaw-millions-of-servers-attack/

VMware vCenter 和 Kemp LoadMaster 漏洞正受到积极利用

https://thehackernews.com/2024/11/cisa-alert-active-exploitation-of.html

影响五种已停产的 GeoVision 产品型号的0day漏洞(CVE-2024-11120,CVSS 评分为 9.8))已被僵尸网络利用

https://www.securityweek.com/discontinued-geovision-products-targeted-in-botnet-attacks-via-zero-day/

WordPress 插件严重漏洞导致超过 400 万个网站暴露

https://thehackernews.com/2024/11/urgent-critical-wordpress-plugin.html

Palo Alto Networks 发布了利用新发现的防火墙0day漏洞发起攻击的 IoC

https://www.securityweek.com/palo-alto-networks-releases-iocs-for-new-firewall-zero-day/

美国环保署指出,为大约 1.1 亿人提供服务的 300 多个饮用水系统存在安全漏洞

https://www.securityweek.com/300-drinking-water-systems-in-us-exposed-to-disruptive-damaging-hacker-attacks/

新型隐秘恶意软件BabbleLoader针对寻找破解财务软件的商务专业人士

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):新型隐秘恶意软件BabbleLoader针对寻找破解财务软件的商务专业人士

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月20日13:39:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型隐秘恶意软件BabbleLoader针对寻找破解财务软件的商务专业人士https://cn-sec.com/archives/3414014.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息