本文來自微信公眾號“安全牛”。
據(jù)Vade公司最新發(fā)布的《2023年第三季度網(wǎng)絡(luò)安全報告》顯示,2023年第三季度,共檢測到1.257億封包含惡意軟件的電子郵件,相比第二季度增長了110%。這是個令人不安且值得關(guān)注的趨勢。從本質(zhì)上講,目前的惡意軟件正在逐漸演變成一個復(fù)雜多變的網(wǎng)絡(luò)犯罪生態(tài)體系。為了獲取更大的攻擊收益,攻擊者正在不斷尋找新的傳播路徑和感染手段,并不斷嘗試任何可行的策略,來增強惡意軟件的攻擊能力。
為了更好地識別和預(yù)防新一代惡意軟件的攻擊威脅,幫助企業(yè)安全團隊保持對惡意軟件的信息更新和警惕,專業(yè)安全網(wǎng)站CyberTalk.org日前梳理總結(jié)了5種值得所有組織高度關(guān)注的新興惡意軟件并對其特點進行了研究分析。CyberTalk.org主編Shira Landau認為:相比傳統(tǒng)的病毒、木馬、僵尸程序等惡意軟件,這些新型惡意軟件更加隱蔽,也更加危險,代表了惡意軟件未來演進發(fā)展的重要趨勢。
01
GootBot:GootLoader惡意軟件的新變種
2023年10月,IBM X-Force安全研究團隊發(fā)現(xiàn)了GootLoader惡意軟件的一個新變種“GootBot”,能夠在受感染系統(tǒng)上進行更廣泛的橫向移動并智能化逃避安全監(jiān)測。
研究人員指出,目前觀察到的GootBot活動主要利用搜索引擎優(yōu)化(SEO)中毒策略,以合同、法律表格或其他業(yè)務(wù)相關(guān)文件為主題,將受害者引向受感染的網(wǎng)站,誘騙他們下載帶有病毒的文件,這些文件包含一個模糊處理的JavaScript文件。一旦感染后,大量的GootBot植入物會在整個企業(yè)環(huán)境中傳播。更危險的情況是,每個植入都利用不同的硬編碼C2服務(wù)器,使攻擊難以阻止。
自2014年以來,一直活躍的Gootloader組織就大量依靠搜索引擎優(yōu)化(SEO)中毒和受損WordPress網(wǎng)站的組合來傳播惡意軟件。此次發(fā)現(xiàn)的“GootBot”變種,表明了傳統(tǒng)Gootloader惡意軟件的一種戰(zhàn)術(shù)轉(zhuǎn)變,即在Gootloader感染后將植入物作為有效載荷下載,而不是使用CobaltStrike等后開發(fā)框架。同時,也凸顯了攻擊者在逃避檢測和隱蔽操作方面的巨大能力提升。
防護建議:
●對所有員工開展SEO攻擊的安全意識培訓(xùn),加強對中毒網(wǎng)頁的識別和防護;
●啟用瀏覽器的安全功能和惡意軟件防護功能,并確保操作系統(tǒng)及時進行安全更新;
●確保對網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)應(yīng)用程序進行正確的配置;
●增強安全意識,從官方渠道安裝正版軟件。
02
BunnyLoader:“網(wǎng)紅”版MaaS工具
BunnyLoader是一個新發(fā)現(xiàn)的惡意軟件即服務(wù)(MaaS)工具,目前仍有大量的威脅功能還在開發(fā)完善中,主要是為了添加了新功能和錯誤修復(fù)。目前,BunnyLoader已經(jīng)可以下載和執(zhí)行有效負載、記錄密鑰、竊取敏感數(shù)據(jù)、加密貨幣以及執(zhí)行遠程攻擊命令等。
研究人員發(fā)現(xiàn),BunnyLoader是一種功能更豐富、價格更低廉的惡意軟件既服務(wù)工具,盡管有很多功能還在開發(fā),但其從上線開始就迅速受到網(wǎng)絡(luò)犯罪分子的青睞。攻擊者只需要花費250美元就可以在暗網(wǎng)上購買BunnyLoader的基本版本,而高級版本的售價也僅要350美元,后者具有更強的反分析、內(nèi)存注入、檢測逃避及額外的持久性機制。
BunnyLoader的核心特點是具有C2面板,該面板可以幫助沒有專業(yè)背景的網(wǎng)絡(luò)犯罪分子設(shè)置第二階段有效負載,并啟用鍵盤記錄、憑證收集、剪貼板監(jiān)控(用于竊取加密貨幣)等攻擊功能。
最新分析結(jié)果顯示,BunnyLoader已經(jīng)配備了持久駐留機制和反沙箱策略,以確定自身是否在沙箱或模擬環(huán)境中運行,如果是的話,它會拋出虛假的架構(gòu)不兼容錯誤來逃避分析和檢測。此外,該惡意軟件還具有截取網(wǎng)絡(luò)瀏覽器信息、加密貨幣錢包、消息應(yīng)用程序數(shù)據(jù)竊取等模塊,可以充當(dāng)標準的“信息竊取器”。
防護建議:
●定期更新操作系統(tǒng)和應(yīng)用程序補丁,并使用強密碼和管理員權(quán)限限制等措施;
●持續(xù)檢測異常網(wǎng)絡(luò)訪問行為和相關(guān)的異常指標,包括異常的代碼執(zhí)行、橫向移動等;
●使用端點防護工具,識別和阻止惡意程序的運行。
03
LionTail:既輕量又復(fù)雜的后門軟件
日前,一個名為“疤痕獅蝎”(Scarred Manticore)的惡意軟件組織被觀察到使用一種輕量級后門軟件“LionTail”,它集合了一組復(fù)雜的自定義加載程序和內(nèi)存駐留惡意有效負載。
該惡意軟件具有一個值得注意的組件,是用C語言編寫的輕量級但復(fù)雜的惡意植入物,使攻擊者能夠通過HTTP請求遠程執(zhí)行命令,并運行攻擊者發(fā)送到惡意軟件配置中指定的URL有效載荷。
這是一個與已知惡意軟件家族沒有任何關(guān)聯(lián)的新型惡意軟件,因此其使用者往往能夠輕松隱藏在合法的流量中而不被發(fā)現(xiàn)。
研究人員發(fā)現(xiàn),LionTail惡意軟件已被實際應(yīng)用于針對政府、軍事、電信和金融組織的攻擊活動中。這些目標組織重點分布在伊拉克、以色列、約旦、科威特等海灣國家和地區(qū)組織中。使用它的惡意組織主要從事數(shù)據(jù)竊取、秘密訪問和其他間諜性活動。
防護建議:
●安裝反間諜軟件防護工具,并有效開啟反間諜軟件相關(guān)功能;
●始終使用防火墻,對下載的文件進行安全性檢查;
●定期開展反病毒軟件掃描,發(fā)現(xiàn)和清除已感染的間諜軟件;
●實施完善的訪問控制措施,限制對敏感系統(tǒng)和數(shù)據(jù)的訪問。
04
SecuriDropper:針對Android設(shè)備的木馬軟件服務(wù)
這是一種能夠感染移動Android設(shè)備的木馬軟件即服務(wù)(Dropper-as-a-service,DaaS),能夠通過偽裝成合法的應(yīng)用程序來感染移動Android設(shè)備。在大多數(shù)情況下,SecuriDropper會偽裝成谷歌應(yīng)用程序、Android更新、視頻播放器、游戲甚至安全應(yīng)用程序。一旦被下載后,該木馬程序就會安裝一個有效負載,實際上是某種形式的惡意軟件。它通過確保對“讀寫外部存儲”和“安裝和刪除包”權(quán)限的訪問來做到這一點。
第二階段的有效載荷是通過用戶欺騙和界面操縱來安裝的,因為用戶在看到關(guān)于應(yīng)用程序安裝的虛假錯誤信息后,會被提示點擊“重新安裝”按鈕。研究人員已經(jīng)觀察到通過SecuriDropper分發(fā)的SpyNote惡意軟件。此外,SecuriDropper還被發(fā)現(xiàn)分發(fā)偽裝成Chrome瀏覽器的銀行Ermac木馬,以及瞄準數(shù)百種加密貨幣和電子銀行的惡意木馬應(yīng)用。
防護建議:
●確保應(yīng)用程序來源可信,并仔細審查軟件的權(quán)限和行為;
●監(jiān)控和分析異常網(wǎng)絡(luò)應(yīng)用和訪問行為;
●部署完善的安全防護體系,包括入侵防護系統(tǒng)、反惡意軟件工具、防火墻和其他安全軟件。
05
Jupyter infostealer:能夠逃避檢測的賬號竊取工具
Jupyter infostealer是一種幫助攻擊者竊取賬號憑據(jù)并非法訪問數(shù)據(jù)的新型惡意軟件,主要針對教育、醫(yī)療和政府等行業(yè)的組織。盡管從技術(shù)上講,這種惡意軟件的早期版本自2020年以來就已經(jīng)存在,但新的變體一直在不斷更新,以逃避檢測,并增加了很多令人不安的新功能。
在最近的攻擊事件監(jiān)測中,研究人員發(fā)現(xiàn),新版本的Jupyter infostealer工具能夠針對Chrome、Edge和Firefox瀏覽器,利用SEO中毒和搜索引擎重定向來傳播。在最新的攻擊案例中,Jupyter infostealer能夠利用PowerShell命令來修改和簽名私鑰,并將惡意軟件冒充為合法簽名的文件來逃避審查,甚至已經(jīng)能夠訪問受害者的設(shè)備。
Jupyter infostealer的感染主要是通過惡意網(wǎng)站、非法下載和網(wǎng)絡(luò)釣魚郵件發(fā)生的。在一份美國政府最新發(fā)布的2024年預(yù)算在線副本中,研究人員發(fā)現(xiàn)已被感染Jupyter infostealer軟件。
防護建議:
●安裝防病毒軟件、防火墻及其他安全軟件;
●使用應(yīng)用白名單,只允許獲得許可的應(yīng)用程序在設(shè)備上運行;
●定期更新軟件,及時修復(fù)已知的漏洞;
●開展用戶培訓(xùn)和教育,增強安全意識;
●實施網(wǎng)絡(luò)分段,將敏感信息和應(yīng)用與其他網(wǎng)絡(luò)應(yīng)用隔離開來;
●部署最新的入侵檢測系統(tǒng),及時識別惡意活動的跡象。