Bandook的远程访问变种木马(RAT)对Windows用户发起网络钓鱼攻击

X0_0X2024-01-09 17:26:26

Securityaffairs网站消息,Fortinet的研究人员发现了一种新的名为Bandook的远程访问变种木马(RAT),近日,威胁攻击者利用该木马对Windows用户发起了网络钓鱼攻击。


该木马最早可追溯到2007年,至今一直在不断发展,不同威胁行为者已经利用该木马进行了多次攻击活动。


最近一次曝光,Bandook变种木马通过附件为PDF文件的电子邮件进行传播。该PDF文件包含一个用于下载受密码保护的.7z文件的缩短URL。当从PDF文件中提取恶意软件后,注入器会在资源表中解密载荷并将有效载荷注入到msinfo32.exe中,而有效载荷的行为是由注入前创建的注册表键值决定的。


Fortinet发布的分析报告显示,“一旦注入成功,载荷就会初始化注册表键名、标志、API等的字符串。在此之后,载荷使用被注入的msinfo32.exe的进程标识符(PID)来查找注册表键,然后解码并解析键值,以执行控制码指定的任务。”



Bandook木马的有效载荷支持139种动作,其中大部分在之前的变种中已经使用过了,最近的变种又增加了用于C2通信的附加命令,这意味着Bandook木马还在持续改进。


Bandook的常见行为包括文件操作、注册表操作、下载、信息窃取、文件执行、从C2调用dll中的函数、控制受害者的计算机、终止进程以及卸载恶意软件等。


报告指出,这个恶意软件包含大量用于C2通信的命令,但其有效载荷执行的任务数量少于命令的数量。这是因为多个命令被用来执行单一动作时,有些命令用于调用其他模块中的函数,还有些命令仅用于对服务器进行响应。


报告表示,Bandook在这次攻击中没有观察到整个系统,FortiGuard将继续监控恶意软件的变种,并提供相应的防护措施。


参考来源:Long-existing Bandook RAT targets Windows machines (securityaffairs.com)


软件网络钓鱼
本作品采用《CC 协议》,转载必须注明作者和本文链接
美国司法部在1月26日宣布了针对Hive勒索软件组织的长达数月的破坏活动,该组织针对全球80多个国家的1,500多名受害者,包括医院,学校,金融公司和关键基础设施。自 2022 年 7 月渗透到 Hive 网络以来,联邦调查局已向受到攻击的 Hive 受害者提供了 300 多个解密密钥。最后,该部门今天宣布,与德国执法部门和荷兰国家高科技犯罪部门协调,它已经控制了Hive用来与其成员通信的服务器和网站,破坏了Hive攻击和勒索受害者的能力。
勒索软件已成为一种日益普遍的全球威胁,2021年上半年,在众多网络威胁中表现最为亮眼也最为疯狂。据SonicWall报告称,相比2020年上半年,2021上半年勒索软件攻击数量增长了151%。攻击规模和频率以惊人的速度增长,复杂性和创新水平不断提高,成为政府、企业、个人最为关注的安全风险之一,也是网络安全最重大威胁之一。因此,有必要从发生原因、发展特点、打击措施和防御建议等方面进行分析研究。
国家互联网应急中心(CNCERT/CC)联合国内头部安全企业成立“中国互联网网络安全威胁治理联盟勒索软件防范应对专业工作组”,从勒索软件信息通报、情报共享、日常防范、应急响应等方面开展勒索软件防范应对工作,并定期发布勒索软件动态,本周动态信息如下: 一、勒索软件样本捕获情况
随着网络犯罪分子改变策略,利用当前事件和易受攻击的目标,通过新渠道推进其活动,某些类型的攻击已经升级。近期,微软发布了第二份年度数字防御报告,指出俄罗斯黑客在2020年7月到2021年6月间不仅攻击频率提高,成功入侵比例也从前一年的2成增加到3成,并且渗透政府组织搜集情报的行为也更加频繁,报告同时还将矛头指向朝鲜、伊朗和中国等。此外,报告还重点关注最新颖和与社区相关的威胁。
第4类事故占49%,而去年占所有事故的35%。自我报告的网络犯罪损失总计超过330亿美元。在与大流行有关的网络犯罪报告中,75%以上涉及澳大利亚人损失金钱或个人信息。报告的网络安全事件的平均严重程度和影响有所增加,近一半被归类为“重大”事件。这可能是澳大利亚第一起由网络犯罪事件直接导致的破产案件。
通过分析其多个平台上的数万亿个数据点,网络安全服务商Akamai Technologies公司的研究团队通过流行的网络攻击流量和技术发现了有关威胁行为者行为的新发现。这三份报告指出了最突出的安全趋势,并描绘了当前网络攻击格局的准确地图。 对勒索软件攻击趋势的最新分析突出了风险并提出了缓解措施,而对Web应用程序和API攻击趋势的分析提供了对勒索软件运营商和其他人使用的传播媒介的全新认识。对
网络安全威胁正变得日益复杂,组织日趋严密且资金充沛。安全运营中心是组织的眼睛和耳朵,当可疑或异常的网络安全事件发生时发出警报,其能迅速作出反应,以减少对组织的影响。NOC的主要职责是网络设备管理和性能监测。早期安全运营中心的主要职责包括处理病毒警报、检测入侵和应对意外事件。而安全运营中心在检测和预防这些威胁方面发挥了主要作用。企业在现有的SIEM技术上部署UEBA,以减少误报。
网络安全威胁正变得日益复杂,组织日趋严密且资金充沛。安全运营中心是组织的眼睛和耳朵,当可疑或异常的网络安全事件发生时发出警报,其能迅速作出反应,以减少对组织的影响。NOC的主要职责是网络设备管理和性能监测。早期安全运营中心的主要职责包括处理病毒警报、检测入侵和应对意外事件。而安全运营中心在检测和预防这些威胁方面发挥了主要作用。企业在现有的SIEM技术上部署UEBA,以减少误报。
经济衰退、利率上升、大规模科技裁员,支出也变得保守,对于这些因素的担忧,交易撮合者也因此变得谨慎。
后疫情世界中,勒索软件威胁最受企业安全人员关注,网络钓鱼和高级持续性威胁次之。
X0_0X
暂无描述