欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

恶意软件“WildPressure”利用未知木马攻击中东的一些机构

e6e9fdb1a932f3282020-04-0120资讯

网络攻击(某些是针对工业目标的攻击)使用了以前未知的木马,称为Milum。

恶意软件“WildPressure”利用未知木马攻击中东的一些机构  资讯 第1张

一项针对中东组织的恶意软件的活动日前已经被发现,该活动与以前的攻击活动没有任何相似之处。该活动以代码内的C++类名“WildPressure”为自己命名,使用了以前未知的恶意软件,研究人员将其命名为Milum。

卡巴斯基的研究员在9月份的时候破坏了WildPressure命令与控制(C2)域中的一个,他们表示,访问恶意基础框架的IP中,大部分是来自中东的,而其余的IP则包括扫描仪、TOR出口节点、VPN链接。卡巴斯基发现,受害者也包括一些工业目标。

这项研究表明,这个恶意软件会执行基本的系统侦察工作,包括清点存放在受感染机器上的文件类型。而且,它还可以从其C2获取更新,这更新中也有可能包括一些第二阶段的功能。

简单直接

卡巴斯基安全研究员丹尼斯·莱格佐(Denis Legezo)在星期二的一篇文章中写道,构建该木马的方法非常简单,举个例子,所有的Milum示例都是独立的可执行文件。

此外,代码的内置配置数据包括硬编码的C2 URL和用于通信的加密/解密密钥。安装后,该恶意软件会创建一个名为“\ ProgramData \ Micapp \ Windows \”的目录,并解析此配置数据,以形成发送到其C2的信标。

为了发送信标,Milum使用配置数据中存储的64字节密钥在HTTP POST请求中传输压缩的JSON数据,该数据使用RC4加密。而压缩方面,该木马使用的是嵌入式gzip代码(gzip是一种流行的数据压缩技术)。

卡巴斯基的研究人员发现,传播最广泛的是作为不可见工具栏窗口存在的应用程序,这意味着受害者是检测不到它的。

困难归因

至于功能方面,Milum代码中的命令处理程序包括:用于连接到C2的指令;记录文件属性(包括目录中的属性,标记为隐藏、只读、归档、系统、可执行文件);收集系统的信息以验证目标并确定防病毒产品状态;更新恶意软件;删除自己。

阿里巴巴发布新一代安全架构:让数字基建的每块砖安全可溯源

“新基建”带来了新的发展机遇,也对网络空间安全带来了全新的挑战。两个多月新冠疫情磨砺,让加快发展数字化成为社会共识,以5G、数据中心等为代表的新型基础设施建设,也成为经济复苏的新路径。 近日,阿里巴巴发布数字基建新一代安全架构。新架构整合阿里巴巴20年来的各项安全能力和运营经验,形成一套即插即用的标准化安全架构,可帮助社会各界在数字化进程中构建完整的安全基础设施。 值得注意的是,新一代安全架构提出了“安全基建”这样一个全新的概念。阿里安全首席架构师钱磊表示,新一代安全架构立足于切实解决安全问题,是通过各种实战场景沉淀并进化出来的“真金白银”。安全基建对数字经济最大意义在于,为各类App和网站等数字经济实体的搭建过程建立标准化流程,确保数字经济实体在建设之初就运行在较高

为了集中精力,操作员使用了样本中也已硬编码的目标ID。

Legezo说:“在这之中,我们发现了HatLandM30和HatLandid3,这两者我们都不熟悉。”

然而,卡巴斯基方面表示,攻击活动的剩余部分都没有任何线索,使归因变得很困难。在活动基础架构方面,运营商使用了从ISP OVH和Netzbetrieb租用的虚拟专用服务器(VPS),以及使用通过代理匿名服务在Domains中注册的域名。

Legezo还表示,恶意软件作者使用的C ++代码方式(存储在二进制文件的资源部分中的base64编码JSON格式的配置数据)相当通用。

Legezo解释说:

迄今为止,我们还没有观察到与任何已知的actor或活动有关的基于代码或受害者的强烈相似之处。任何相似之处在归因方面都应被视为薄弱环节,并且可以简单地从以前的著名案例中复制出来。的确,近年来,这种“向更有经验的攻击者学习”的循环已被一些有趣的新actor采用。

值得一看

研究人员发现了三个此前未被发现的循环传播的木马样本。所有这些都是在去年3月份的时候首次编译的,而感染是在去年5月底时开始的,也就是说这木马感染活动是全年都在持续的。

该时间表与其他方面相结合,使得Legezo怀疑该恶意软件还处于开发的早期阶段,他预计恶意软件还会有后续其他的活动。

首先,样本上有一个“1.0.1”的版本标记。并且,在用于与命令和控制(C2)服务器进行通信的HTTP POST请求中,有一些字段可以选择使用不同的编程语言,这就表示他们或许有计划启用非C++版本的代码(如果现存代码中还没有的话)。

Legezo说:

我们考虑保留这些文件的唯一原因是,如果攻击者拥有数种以不同语言编写的木马,就可以与同一个控制服务器一起工作。

Legezo补充说明,Milum值得观察,特别是考虑到它对中东工业目标的袭击。但是,其个性的缺乏,可能使其在将来的战役中成为变色龙。他总结表示,该恶意软件并非专门针对任何类型的受害者而设计的,可以在其他操作中重复使用。

本文翻译自:https://threatpost.com/wildpressure-malware-campaign-middle-east/154101/: