安基网 首页 资讯 安全报 查看内容

意外发现某黑客组织武器库,全球已有50万台计算机被感染

2020-2-10 13:15| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,以色列网络安全公司Cybereason在源代码托管网站Bitbucket上意外发现了某黑客组织的武器库,库中包含大量恶意软件,它们能够窃取数据、挖掘加密货币以及向世界各地的计算机发送勒索软件,可谓多种多样。恶意软件简介根据Cybereason公司的说法,攻击者所使用的恶意软件具体如下:Predator一款间谍 ...

近日,以色列网络安全公司Cybereason在源代码托管网站Bitbucket上意外发现了某黑客组织的武器库,库中包含大量恶意软件,它们能够窃取数据、挖掘加密货币以及向世界各地的计算机发送勒索软件,可谓多种多样。

恶意软件简介

根据Cybereason公司的说法,攻击者所使用的恶意软件具体如下:

Predator

一款间谍软件,能够从浏览器中窃取凭证、控制摄像头拍摄照片、截屏以及洗劫加密货币钱包。

Azorult

一款间谍软件,能够窃取密码、电子邮箱凭证、cookie、浏览器历史记录、ID和加密货币,且具有后门功能。

执行后,Azorult将扫描文件系统并搜索敏感数据,如浏览器数据、cookie、电子邮箱客户端和加密货币钱包。然后,将这些数据复制到%TEMP%目录,打包并发送给攻击者。

图1.Azorult执行的攻击流程

Evasive Monero Miner

加密货币挖矿恶意软件的dropper ,可根据其原始源代码释放入开源的XMRig挖矿程序,且使用了先进的规避技术来绕过安全检测,包括代码注入、文件重命名、文件编码、不可执行的扩展名以及通过Tor连接等。

图2.XMRig Miner Dropper执行的攻击流程

STOP

一款于2018年首次被发现的勒索软件,同时还具备下载功能,可以下载其他恶意软件。

首先,它会通过访问api.2ip.ua来收集有关目标计算机的信息,并检查其是否位于虚拟机上运行。

接下来,它会在%AppData%中创建一个文件夹并将其二进制文件复制到该文件夹下,然后使用icacls更改对文件的访问控制,以便其他人无法访问。

然后,它会创建一个RUN注册表项和一个计划任务,每五分钟执行一次。

在运行时,它会连接到C2服务器,向C2发送MAC地址的MD5哈希值,并下载用于文件加密的密钥。

根据Cybereason公司的说法,STOP还会将其他有效载荷下载到目标计算机上,这其中包括:

  • hxxp://ring2[.]ug/files/cost/updatewin2.exe
  • hxxp://ring2[.]ug/files/cost/updatewin1.exe
  • hxxp://ring2[.]ug/files/cost/updatewin.exe
  • hxxp://ring2[.]ug/files/cost/3.exe
  • hxxp://ring2[.]ug/files/cost/4.exe
  • hxxp://ring2[.]ug/files/cost/5.exe

其中,updatewin.exe和updatewin2.exe被用于帮助STOP绕过安全检测,其他有效载荷则是一些臭名昭著的恶意软件,包括Visel和Vidar等。

图3.STOP执行的攻击流程

Vidar

一款间谍软件,能窃取Web浏览器cookie和历史记录、加密货币钱包、双因素身份验证数据,以及屏幕截图。

Vidar会将窃取到的数据存储在%ProgramData%下的一个随机命名的文件夹中,然后发送到C2服务器besfdooorkoora[.]com。在数据发送完成后,它会终止进程并从计算机上删除其有效载荷(5.exe)。

Amadey bot

一款简单的木马程序,主要被用于收集目标计算机的基本信息。

IntelRapid

一款加密货币窃取程序,能够洗劫不同类型的加密货币钱包。

感染链分析

图4.感染链

感染始于受害者从网上下载的破解版商业软件,如Adobe Photoshop和Microsoft Office等(这是网络黑客常用的一种攻击手段,将恶意软件与各种合法软件捆绑在一起,那些试图寻找“免费”商业软件的用户很容易成为受害者)。

待“免费商业软件”安装完成后,Azorult(download.exe)便会立即开始窃取信息并通过删除其二进制文件来掩盖其踪迹。Azorult执行后,Predator(dowloadx.exe)则会创建到Bitbucket的连接,以开始下载其他恶意软件。

图5.恶意zip文件的执行过程

通过拆包Predator,我们可以看到Azorult和Evasive Monero Miner的有效载荷是从hxxps://bitbucket[.]org/patrickhornvist/repo/下载的。

图6.包含在downloadx.exe中的恶意软件下载链接

其他有效载荷还包括:

  • 1.exe和3.exe:不同哈希值的Azorult。
  • 2.exe和8800.exe:不同哈希值的Predator the Thief。
  • 4.exe和5.exe:不同哈希值的Evasive Monero Miner。
  • 111.exe:STOP勒索软件。

图7. https://bitbucket[.]org/patrickhornvist/repo/downloads(恶意软件下载链接)

结语

通过恶意软件样本分析,Cybereason公司还找到了攻击者在Bitbucket上准备的其他一些恶意软件库。从下载量来看,Cybereason公司到目前为止全球至少已有50万台机器被感染,。

值得注意的是,攻击者目前仍在不断地更新Bitbucket上的有效载荷,甚至有时候每隔几个小时就会更新一次。显然,攻击者试图通过更新二进制文件的方式来绕过杀毒软件的检测。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6791664633779323404/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部