“沙虫”APT(APT44)组织是俄罗斯国家资助的威胁行为者。“他们将恶意软件伪装在一款假的KMS激活工具中,即KMSAuto++x64_v1.8.4.zip,并将其上传到种子网站,以针对那些试图绕过Windows许可的用户展开攻击。
攻击运作方式
第一步:执行被篡改的KMS激活工具
一旦被执行,这款假的KMS激活工具会显示Windows激活界面,而在后台,“BACKORDER”加载程序开始初始化,在不触发警报的情况下执行恶意操作。
第二步:禁用Windows Defender
“BACKORDER”加载程序会执行以下PowerShell命令:
powershell.exe -Command Add-MpPreference –ExclusionPath <Folder-Path>
这会添加一条排除规则以绕过安全检测,为恶意软件的安装铺平道路。
第三步:部署“Dark Crystal RAT”(DcRAT)
恶意软件会解码存储在其可移植可执行(PE)文件中的Base64编码的域名字符串,并从kmsupdate2023[.]com/kms2023.zip下载DcRAT。随后,RAT会被存储并执行于以下路径:
AppDataRoamingkms2023kms2023.exe
AppDataLocalstaticfile.exe
第四步:建立持久访问权限
为了确保在受感染系统上的长期存在,DcRAT会使用Windows内置的二进制文件schtasks.exe创建多个计划任务。这使得其能够在系统重启后依然保持持久性。
一旦被执行,DcRAT会窃取敏感数据,包括:
-
设备的屏幕截图
-
从受害者处记录的按键信息
-
浏览器的cookies、历史记录和保存的凭据
-
已保存的FTP凭据
-
系统信息(主机名、已安装的应用程序、语言设置等)
-
已保存的信用卡详细信息
据EclecticIQ称,“DcRAT kms2023.exe与命令与控制服务器onedrivepack[.]com/pipe_RequestPollUpdateProcessAuthwordpress.php建立了远程连接,该服务器很可能由威胁行为者运营。”
有多个证据将此次攻击活动与“沙虫”(APT44)联系起来,包括:
-
使用ProtonMail WHOIS记录
-
命令与控制基础设施的重叠
-
重复使用“BACKORDER”和“DcRAT”恶意软件
-
恶意软件样本中的俄语调试符号
各组织和个人在从不受信任的来源下载软件时必须极其谨慎,并应实施安全最佳实践。
原文始发于微信公众号(风铃Sec):“沙虫”APT 组织利用被篡改的 KMS 工具针对用户开展攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论