CactusPete APT 团队最新 Bisonal 的后门

新广告系列的恶意软件分发方法仍然未知，但是以前的广告系列表明这是他们分发恶意软件的常用方法。攻击者传递恶意软件的首选方式是带有“magic”附件的鱼叉式网络钓鱼邮件。附件不包含零日攻击，但确实包含最近发现和修补的漏洞，或任何其他可能有助于其交付payload的狡猾方法。运行这些附件会导致感染。

一旦恶意软件启动，它就会尝试到达硬编码的C2。使用未经修改的基于HTTP的协议进行通信，对请求和响应主体进行RC4加密，并且加密密钥也被硬编码到样本中。由于RC4加密的结果可能包含二进制数据，因此恶意软件还会在BASE64中对其进行编码，以匹配HTTP规范。

握手包括几个步骤：初始请求，受害者网络详细信息和更详细的受害者信息请求。这是在握手步骤中发送给C2的特定于受害者的信息的完整列表：

• 主机名，IP和MAC地址；
• Windows版本；
• 在受感染主机上设置的时间；
• 指示恶意软件是否在VMware环境中执行的标志；
• 代理使用标志；
• 系统默认的CodePage标识符；

握手完成后，后门将等待命令，并定期ping C2服务器。来自C2 ping的响应正文可能包含命令和参数（可选）。更新的Bisonal后门版本保留了与以前使用相同代码库构建的后门类似的功能：

• 执行一个远程shell；
• 静默地在受害主机上启动程序；
• 从受害主机获取进程列表；
• 终止任何过程；
• 向/从受害者主机上传/下载/删除文件；
• 从受害主机检索可用驱动器的列表；
• 从受害主机检索指定文件夹的文件列表；、

这就是代码中的样子：

** C2命令处理子例程的屏幕截图**
这些远程命令可帮助攻击者研究受害者的环境，以进行横向移动并更深入地进入目标组织。并继续推动各种自定义的Mimikatz变体和键盘记录器，用于凭据收集目的，以及特权升级恶意软件。