专家发现针对拉丁美洲公司网络的恶意软件攻击

专家发现针对拉丁美洲公司网络的恶意软件攻击

网络安全研究人员周四公布了一项新的正在进行的间谍活动,目标是西班牙语国家,特别是委内瑞拉的企业网络,以监视受害者。

由于使用Bandook恶意软件的升级变种,ESET将其称为“banddidos”,威胁行当的主要目标是南美国家的企业网络,横跨制造业、建筑、医疗保健、软件服务和零售部门。

Bandook是用Delphi和c++编写的,从2005年起,它就一直作为商业远程访问木马(RAT)出售。自那以后,许多变种出现在威胁版图上,并在2015年和2017年被用于不同的监视活动,据称是由一个名为“黑暗卡拉卡尔”的网络雇佣军集团代表哈萨克斯坦和黎巴嫩的政府利益。

随着Bandook木马的不断复活,Check Point去年披露了三个新的样本,其中一个支持120个命令它们被同一对手用来打击智利、塞浦路斯、德国、印度尼西亚、意大利、新加坡、瑞士、土耳其和美国的政府、金融、能源、食品工业、医疗保健、教育、IT和法律机构

最新的攻击链始于潜在受害者收到带有PDF附件的恶意电子邮件,该附件包含一个可下载托管在谷歌Cloud、SpiderOak或pCloud上的压缩档案的缩短URL,以及解压缩档案的密码。提取档案揭示了一个恶意软件droppper解码并注入Bandook到一个Internet Explorer进程。

专家发现针对拉丁美洲公司网络的恶意软件攻击

有趣的是,ESET分析的Bandook最新版本包含132条命令,而Check Point报告的是120条命令,这意味着恶意软件背后的犯罪集团正在改进他们的恶意工具,提高其能力和打击能力。

ESET研究人员Fernando Tavella说:“特别有趣的是ChromeInject功能。“当与攻击者的命令和控制服务器建立通信时,有效载荷下载一个DLL文件,该文件有一个导出的方法,创建一个恶意的Chrome扩展。恶意扩展试图检索受害者提交给URL的任何凭据。这些凭据存储在Chrome的本地存储中。”

有效负载能够处理的一些主要命令包括列出目录内容、操作文件、截屏、控制受害者机器上的光标、安装恶意dll、终止正在运行的进程、从特定URL下载文件、将操作结果泄露到远程服务器,甚至将其从受感染的机器上卸载。

如果有什么不同的话,这一进展是另一个迹象,表明对手仍然可以利用旧的犯罪软件解决方案来促进攻击。

“(班杜克)参与了不同的间谍活动……)向我们表明,它仍然是网络罪犯的一个相关工具,”研究人员认为。“此外,如果我们考虑到这些年来对恶意软件所做的修改,这表明网络罪犯有兴趣继续在恶意活动中使用这款恶意软件,使其更复杂、更难以检测。”

专家发现针对拉丁美洲公司网络的恶意软件攻击

极牛网精选文章《专家发现针对拉丁美洲公司网络的恶意软件攻击》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/14681.html

(37)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
攻防实验室的头像攻防实验室认证作者
上一篇 2021年7月7日 上午11:35
下一篇 2021年7月8日 上午9:20

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部