真*黑吃黑
——黑客利用 XWorm RAT 攻击脚本小子,入侵全球 18,000 多台设备并通过基于 Telegram 的 C&C 窃取敏感数据。
CloudSEK 发现了一个涉及XWorm RAT构建器木马化版本的新活动。该恶意软件通过各种渠道传播,包括文件共享服务(如 Mega 和 Upload.ee)、Github 存储库(如 LifelsHex/FastCryptor 和 FullPenetrationTesting/888-RAT)、Telegram 频道(包括 HAX_CRYPT 和 inheritedeu),甚至 Youtube 和其他网站。
此次攻击活动导致全球超过 18,459 台设备遭入侵。被盗数据包括敏感信息,例如浏览器凭据、Discord 令牌、Telegram 数据和受感染设备的系统信息。
CloudSEK 的博客文章,由该公司威胁情报研究员 Vikas Kundu 撰写,他透露:“该构建器为攻击者提供了一种精简的工具来部署和操作功能强大的 RAT,它具有系统侦察、数据泄露和命令执行等高级功能。 ”
威胁者专门分发了经过修改的 XWorm RAT 构建器,以针对缺乏经验的攻击者(又名脚本小子-Script Kiddies)。安装后,恶意软件会从受害者的设备中窃取敏感数据,如浏览器凭据、Discord 令牌、Telegram 数据和系统信息。它还拥有虚拟化检查、修改注册表的能力以及广泛的命令和控制功能等高级功能。
此外,该恶意软件依赖 Telegram 实现其命令和控制功能。它使用机器人令牌和 Telegram API 调用来接收来自攻击者的命令并窃取被盗数据。
研究人员能够识别并利用恶意软件中的“终止开关”功能。此功能用于中断受恶意软件感染的活动设备的操作。但是,这种方法有局限性。离线机器和 Telegram 的速率限制机制阻止了完全中断。
根据调查,研究人员能够将威胁行为者与别名“@shinyenigma”和“@milleniumrat”联系起来。此外,他们还能够识别关联的 GitHub 帐户和 ProtonMail 地址。
值得注意的是,XWorm 已成为持续威胁,乌克兰国家特别通信和信息保护局 (SSSCIP)报告称, 2024 年上半年俄罗斯针对乌克兰的网络行动中使用了 XWorm。
为了防范此类威胁,组织和个人应该使用端点检测和响应 (EDR) 解决方案来检测可疑的网络活动甚至恶意软件识别。
此外,使用入侵检测和防御系统 (IDPS) 进行网络监控可以阻止受感染设备与 Telegram 上的恶意 C&C 服务器之间的通信。阻止访问已知恶意 URL 和强制应用程序白名单等主动措施可以防止下载和执行恶意软件。
-
技术详细分析:https://www.cloudsek.com/blog/no-honour-among-thieves-uncovering-a-trojanized-xworm-rat-builder-propagated-by-threat-actors-and-disrupting-its-operations
原文始发于微信公众号(独眼情报):黑客利用 XWorm RAT 攻击“脚本小子”,感染了18,000 台设备
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论