导 读
网络安全研究人员发现了一种名为 BabbleLoader 的新型隐秘恶意软件加载器,该加载器已被观察到在野外提供WhiteSnake和Meduza等信息窃取木马。
Intezer 安全研究员 Ryan Robinson在周日发布的一份报告中表示, BabbleLoader 是一种“极具规避性的加载器,配备了多种防御机制,旨在绕过防病毒和沙盒环境,将窃取程序传送到内存中”。
证据表明,该加载程序被用于针对英语和俄语个人的几项活动,主要通过将其伪装成会计软件来针对寻找通用破解软件的用户以及金融和行政管理领域的商业专业人士。
加载器已经成为一种越来越流行的传播恶意软件(如窃取程序或勒索软件)的方法,它通常充当攻击链的第一阶段,通过结合一系列反分析和反沙盒功能来绕过传统的防病毒防御措施。
近年来不断涌现的新加载器家族就是明证。其中包括但不限于Dolphin Loader、Emmenhtal、FakeBat和Hijack Loader等,它们被用来传播各种有效载荷,如 CryptBot、Lumma Stealer、SectopRAT、SmokeLoader和 Ursnif。
BabbleLoader 的突出之处在于它集成了各种规避技术,可以欺骗传统和基于 AI 的检测系统。这包括使用垃圾代码和变形转换来修改加载器的结构和流程,以绕过基于签名和行为的检测。
它还通过仅在运行时解析必要的函数来绕过静态分析,同时采取措施阻止沙盒环境中的分析。此外,过多添加无意义、嘈杂的代码会导致 IDA、Ghidra 和 Binary Ninja 等反汇编或反编译工具崩溃,从而迫使进行手动分析。
“加载器的每个版本都有独特的字符串、独特的元数据、独特的代码、独特的哈希值、独特的加密和独特的控制流。”罗宾逊说。“每个样本的结构都是独一无二的,只有几段共享的代码。甚至每个样本的文件元数据都是随机的。”
“代码结构的不断变化迫使人工智能模型不断地重新学习要寻找的内容——这个过程常常导致漏检或误报。”
加载器的核心是负责加载 shellcode,然后为解密代码铺平道路,Donut 加载器则解压并执行窃取恶意软件。
“加载器对最终有效载荷的保护越好,威胁组织需要花费的资源就越少,以轮换被摧毁的基础设施。”罗宾逊总结道。“BabbleLoader 采取措施,尽可能多地防范各种形式的检测,以便在拥挤的加载器/加密器市场中竞争。”
这一进展是在 Rapid7 详细介绍了一项新的恶意软件活动时发生的,该活动分发了新版本的LodaRAT,该病毒能够窃取 Microsoft Edge 和 Brave 的 cookie 和密码,此外还能收集各种敏感数据、传播更多恶意软件并授予对受感染主机的远程控制权。该病毒自 2016 年 9 月以来一直活跃。
Rapid7 表示,“发现 Donut loader 和 Cobalt Strike 正在分发新版本”,并且“在感染了其他恶意软件家族(如 AsyncRAT、Remcos、XWorm 等)的系统上观察到了 LodaRAT”。这些感染之间的确切关系仍不清楚。
此前还发现了基于 njRAT 的新恶意软件Mr.Skeleton RAT,该恶意软件已在网络犯罪论坛中传播,具有“远程访问和桌面操作、文件/文件夹和注册表操作、远程 shell 执行、键盘记录以及设备摄像头的远程控制”功能。
技术报告:
https://intezer.com/blog/research/babble-babble-babble-babble-babble-babble-babbleloader/
https://www.rapid7.com/blog/post/2024/11/12/lodarat-established-malware-new-victim-patterns/
新闻链接:
https://thehackernews.com/2024/11/new-stealthy-babbleloader-malware.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
WhatsApp 的诉讼文件中详细记录了 1,400 起 Pegasus 间谍软件感染事件
https://therecord.media/pegasus-spyware-infections-detailed-whatsapp-lawsuit
匈牙利确认国防采购机构遭黑客攻击
https://therecord.media/hungary-defense-procurement-agency-hacked
BrazenBamboo APT 利用 FortiClient 零日漏洞窃取用户凭证
https://cybersecuritynews.com/brazenbamboo-apt-forticlient-zero-day/
APT 组织 DONOT 对巴基斯坦海事和国防工业发起网络攻击
https://thecyberexpress.com/apt-group-donot-targets-pakistan/
DeepData 恶意软件框架被发现利用尚未修补的 Windows 0day漏洞 Fortinet VPN 客户端
https://www.securityweek.com/fortinet-vpn-zero-day-exploited-in-malware-attacks-remains-unpatched-report/
黑客利用 T-Mobile 和其他美国电信公司开展间谍活动
https://thehackernews.com/2024/11/chinese-hackers-exploit-t-mobile-and.html
FrostyGoop 的放大:仔细观察恶意软件工件、行为和网络通信
https://unit42.paloaltonetworks.com/frostygoop-malware-analysis/
一般威胁事件
General Threat Incidents
新型隐秘恶意软件 BabbleLoader 被发现传播 WhiteSnake 和 Meduza 信息窃取木马
https://thehackernews.com/2024/11/new-stealthy-babbleloader-malware.html
新的“Helldown”勒索软件变种将攻击范围扩大到 VMware 和 Linux 系统
https://thehackernews.com/2024/11/new-helldown-ransomware-expands-attacks.html
Ngioweb 僵尸网络助长 NSOCKS 住宅代理网络利用物联网设备
https://thehackernews.com/2024/11/ngioweb-botnet-fuels-nsocks-residential.html
黑客劫持不安全的 Jupyter Notebook 来播放非法体育广播
https://thehackernews.com/2024/11/hackers-hijack-unsecured-jupyter.html
福特汽车调查客户数据泄露事件
https://www.bleepingcomputer.com/news/security/ford-investgates-alleged-breach-following-customer-data-leak/
美国太空科技巨头 Maxar 披露员工数据泄露事件
https://www.bleepingcomputer.com/news/security/us-space-tech-giant-maxar-discloses-employee-data-breach/
虚假折扣网站利用黑色星期五盗取购物者信息
https://thehackernews.com/2024/11/fake-discount-sites-exploit-black.html
Spotify 被滥用来推广盗版软件和游戏作弊行为
https://www.bleepingcomputer.com/news/security/spotify-abused-to-promote-pirated-software-and-game-cheats/
Facebook 恶意广告活动通过假 Bitwarden 更新传播Chrome恶意插件
https://hackread.com/facebook-malvertising-malware-via-fake-bitwarden/
俄克拉荷马医疗中心遭勒索软件攻击,影响 133,000 人
https://www.securityweek.com/ransomware-attack-on-oklahoma-medical-center-impacts-133000/
美国联合药房据称遭 Embargo 勒索软件攻击
https://www.scworld.com/brief/american-associated-pharmacies-allegedly-breached-by-embargo-ransomware-1
2024 年医疗保健行业遭遇 264 次勒索软件攻击
https://www.medicalbuyer.co.in/healthcare-sector-witnesses-264-ransomware-attacks-in-2024/
美国国会图书馆称黑客入侵部分电子邮件
https://www.securityweek.com/library-of-congress-says-an-adversary-hacked-some-emails/
英国软件公司 Microlise 证实黑客窃取了公司数据
https://therecord.media/microlise-british-software-company-data-breach
瑞士网络机构警告称恶意软件正通过邮政快递传播
https://therecord.media/malware-delivered-by-mail-swiss-cyber-agency
网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测
https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/
美国政府机构遭 DocuSign 恶意网络钓鱼诈骗
https://hackread.com/us-govt-agencies-impersonate-docusign-phishing-scams/
网络犯罪分子利用 Strela Stealer 恶意软件瞄准西班牙、德国和乌克兰受害者
https://therecord.media/cybercriminals-taget-spain-germany-ukraine-strela-stealer-malware
网络钓鱼攻击利用 Microsoft Visio 文件和 SharePoint
https://blog.knowbe4.com/phishing-attacks-exploit-microsoft-visio-files
漏洞事件
Vulnerability Incidents
Apple 确认 macOS 系统遭受0day漏洞攻击
https://www.securityweek.com/apple-confirms-zero-day-attacks-hitting-intel-based-macs/
Oracle 警告 Agile PLM 文件泄露漏洞可能被利用
https://www.bleepingcomputer.com/news/security/oracle-warns-of-agile-plm-file-disclosure-flaw-exploited-in-attacks/
D-Link 敦促用户淘汰受未修复 RCE 漏洞影响的 VPN 路由器
https://www.bleepingcomputer.com/news/security/d-link-urges-users-to-retire-vpn-routers-impacted-by-unfixed-rce-flaw/
严重的 Windows Kerberos 漏洞导致数百万台服务器遭受攻击
https://hackread.com/windows-kerberos-flaw-millions-of-servers-attack/
VMware vCenter 和 Kemp LoadMaster 漏洞正受到积极利用
https://thehackernews.com/2024/11/cisa-alert-active-exploitation-of.html
影响五种已停产的 GeoVision 产品型号的0day漏洞(CVE-2024-11120,CVSS 评分为 9.8))已被僵尸网络利用
https://www.securityweek.com/discontinued-geovision-products-targeted-in-botnet-attacks-via-zero-day/
WordPress 插件严重漏洞导致超过 400 万个网站暴露
https://thehackernews.com/2024/11/urgent-critical-wordpress-plugin.html
Palo Alto Networks 发布了利用新发现的防火墙0day漏洞发起攻击的 IoC
https://www.securityweek.com/palo-alto-networks-releases-iocs-for-new-firewall-zero-day/
美国环保署指出,为大约 1.1 亿人提供服务的 300 多个饮用水系统存在安全漏洞
https://www.securityweek.com/300-drinking-water-systems-in-us-exposed-to-disruptive-damaging-hacker-attacks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):新型隐秘恶意软件BabbleLoader针对寻找破解财务软件的商务专业人士
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论