导读 | 至少自 2018 年以来,一个以定位金融科技行业而闻名的对手已经将其策略转向了包括一个新的基于 Python 的远程访问特洛伊木马 (RAT),该特洛伊木马程序可能会窃取密码、文档、浏览器 Cookie、电子邮件凭据和其他敏感信息。 |
在Sb量分析室的研究人员昨天发表的一份分析中,Evilnum小组不仅调整了感染链,还部署了一种名为”PyVil RAT”的Python RAT,它有能力收集信息、截屏、捕获击键数据、打开SSH外壳和部署新工具。这家网络安全公司表示:”自2018年第一次报告以来,一直通过不同的工具发展,而集团则继续专注于金融科技目标。
这些变体包括感染和持久性链的变化、随着时间的推移正在扩展的新基础架构,以及使用新的 Python 脚本远程访问特洛伊木马 (RAT)来监视其受感染的目标。
在过去两年中,Evilnum与针对英国和欧盟公司的几个恶意软件活动有联系,这些恶意软件活动涉及用 JavaScript 和 C# 编写的后门,以及通过从恶意软件即服务提供商Golden Chickens 购买的工具。
早在7月份,APT集团就被发现以鱼叉式网络钓鱼电子邮件为目标,这些电子邮件包含指向 Google Drive 上托管的 ZIP 文件的链接,以窃取软件许可证、客户信用卡信息以及投资和交易文件。虽然在受损系统获得初步立足点的工作方式保持不变,但感染程序已发生重大转变。
除了使用带假客户(KYC)文档的鱼叉式网络钓鱼电子邮件来诱骗金融行业员工触发恶意软件之外,这些攻击已经从使用基于 JavaScript 的具有后门功能的特洛伊木马程序转向提供隐藏在合法可执行文件修改版本中的恶意有效负载的裸机 JavaScript 滴管,以试图逃避检测。
研究人员说:”这个JavaScript是这种新型感染链的第一阶段,最终交付了有效载荷,一个Python编写的RAT用py2exe汇编,Nocturnus的研究人员称之为PyVilRAT。
多进程交付过程(”ddpp.exe”),执行时,解包外壳代码以建立与攻击者控制的服务器的通信,并接收第二个加密可执行文件(”fplayer.exe”),作为下一阶段下载器来获取 Python RAT。
研究人员指出:”在小组以前的运动中,Evilnum的工具避免在与C2通信时使用域,只使用IP地址。虽然 C2 IP 地址每隔几周更改一次,但与此 IP 地址关联的域列表不断增加。虽然邪恶的确切来源仍然不清楚,但很明显,他们不断即兴的TP已经帮助他们留在雷达下。
随着 APT 技术的不断发展,企业必须保持警惕,员工必须监控其电子邮件是否进行网络钓鱼尝试,并在打开来自未知发件人的电子邮件和附件时保持警惕。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/135737.html