5種更隱蔽、更危險的新型惡意軟件
責編:gltian |2023-11-16 15:29:03據Vade公司最新發布的《2023年第三季度網絡安全報告》顯示,2023年第三季度,共檢測到1.257億封包含惡意軟件的電子郵件,相比第二季度增長了110%。這是個令人不安且值得關注的趨勢。從本質上講,目前的惡意軟件正在逐漸演變成一個復雜多變的網絡犯罪生態體系。為了獲取更大的攻擊收益,攻擊者正在不斷尋找新的傳播路徑和感染手段,并不斷嘗試任何可行的策略,來增強惡意軟件的攻擊能力。
為了更好地識別和預防新一代惡意軟件的攻擊威脅,幫助企業安全團隊保持對惡意軟件的信息更新和警惕,專業安全網站CyberTalk.org日前梳理總結了5種值得所有組織高度關注的新興惡意軟件并對其特點進行了研究分析。CyberTalk.org主編Shira Landau認為:相比傳統的病毒、木馬、僵尸程序等惡意軟件,這些新型惡意軟件更加隱蔽,也更加危險,代表了惡意軟件未來演進發展的重要趨勢。
01
GootBot:GootLoader惡意軟件的新變種
2023年10月,IBM X-Force安全研究團隊發現了GootLoader惡意軟件的一個新變種“GootBot”,能夠在受感染系統上進行更廣泛的橫向移動并智能化逃避安全監測。
研究人員指出,目前觀察到的GootBot活動主要利用搜索引擎優化(SEO)中毒策略,以合同、法律表格或其他業務相關文件為主題,將受害者引向受感染的網站,誘騙他們下載帶有病毒的文件,這些文件包含一個模糊處理的JavaScript文件。一旦感染后,大量的GootBot植入物會在整個企業環境中傳播。更危險的情況是,每個植入都利用不同的硬編碼C2服務器,使攻擊難以阻止。
自2014年以來,一直活躍的Gootloader組織就大量依靠搜索引擎優化(SEO)中毒和受損WordPress網站的組合來傳播惡意軟件。此次發現的“GootBot”變種,表明了傳統Gootloader惡意軟件的一種戰術轉變,即在Gootloader感染后將植入物作為有效載荷下載,而不是使用CobaltStrike等后開發框架。同時,也凸顯了攻擊者在逃避檢測和隱蔽操作方面的巨大能力提升。
防護建議:
- 對所有員工開展SEO攻擊的安全意識培訓,加強對中毒網頁的識別和防護;
- 啟用瀏覽器的安全功能和惡意軟件防護功能,并確保操作系統及時進行安全更新;
- 確保對網絡服務器和網絡應用程序進行正確的配置;
- 增強安全意識,從官方渠道安裝正版軟件。
02
BunnyLoader:“網紅”版MaaS工具
BunnyLoader是一個新發現的惡意軟件即服務(MaaS)工具,目前仍有大量的威脅功能還在開發完善中,主要是為了添加了新功能和錯誤修復。目前,BunnyLoader已經可以下載和執行有效負載、記錄密鑰、竊取敏感數據、加密貨幣以及執行遠程攻擊命令等。
研究人員發現,BunnyLoader是一種功能更豐富、價格更低廉的惡意軟件既服務工具,盡管有很多功能還在開發,但其從上線開始就迅速受到網絡犯罪分子的青睞。攻擊者只需要花費250美元就可以在暗網上購買BunnyLoader的基本版本,而高級版本的售價也僅要350美元,后者具有更強的反分析、內存注入、檢測逃避及額外的持久性機制。
BunnyLoader的核心特點是具有C2面板,該面板可以幫助沒有專業背景的網絡犯罪分子設置第二階段有效負載,并啟用鍵盤記錄、憑證收集、剪貼板監控(用于竊取加密貨幣)等攻擊功能。
最新分析結果顯示,BunnyLoader已經配備了持久駐留機制和反沙箱策略,以確定自身是否在沙箱或模擬環境中運行,如果是的話,它會拋出虛假的架構不兼容錯誤來逃避分析和檢測。此外,該惡意軟件還具有截取網絡瀏覽器信息、加密貨幣錢包、消息應用程序數據竊取等模塊,可以充當標準的“信息竊取器”。
防護建議:
- 定期更新操作系統和應用程序補丁,并使用強密碼和管理員權限限制等措施;
- 持續檢測異常網絡訪問行為和相關的異常指標,包括異常的代碼執行、橫向移動等;
- 使用端點防護工具,識別和阻止惡意程序的運行。
03
LionTail:既輕量又復雜的后門軟件
日前,一個名為“疤痕獅蝎”(Scarred Manticore)的惡意軟件組織被觀察到使用一種輕量級后門軟件“LionTail”,它集合了一組復雜的自定義加載程序和內存駐留惡意有效負載。
該惡意軟件具有一個值得注意的組件,是用C語言編寫的輕量級但復雜的惡意植入物,使攻擊者能夠通過HTTP請求遠程執行命令,并運行攻擊者發送到惡意軟件配置中指定的URL有效載荷。
這是一個與已知惡意軟件家族沒有任何關聯的新型惡意軟件,因此其使用者往往能夠輕松隱藏在合法的流量中而不被發現。
研究人員發現,LionTail惡意軟件已被實際應用于針對政府、軍事、電信和金融組織的攻擊活動中。這些目標組織重點分布在伊拉克、以色列、約旦、科威特等海灣國家和地區組織中。使用它的惡意組織主要從事數據竊取、秘密訪問和其他間諜性活動。
防護建議:
- 安裝反間諜軟件防護工具,并有效開啟反間諜軟件相關功能;
- 始終使用防火墻,對下載的文件進行安全性檢查;
- 定期開展反病毒軟件掃描,發現和清除已感染的間諜軟件;
- 實施完善的訪問控制措施,限制對敏感系統和數據的訪問。
04
SecuriDropper:針對Android設備的木馬軟件服務
這是一種能夠感染移動Android設備的木馬軟件即服務(Dropper -as-a- service,DaaS),能夠通過偽裝成合法的應用程序來感染移動Android設備。在大多數情況下,SecuriDropper會偽裝成谷歌應用程序、Android更新、視頻播放器、游戲甚至安全應用程序。一旦被下載后,該木馬程序就會安裝一個有效負載,實際上是某種形式的惡意軟件。它通過確保對“讀寫外部存儲”和“安裝和刪除包”權限的訪問來做到這一點。
第二階段的有效載荷是通過用戶欺騙和界面操縱來安裝的,因為用戶在看到關于應用程序安裝的虛假錯誤信息后,會被提示點擊“重新安裝”按鈕。研究人員已經觀察到通過SecuriDropper分發的SpyNote惡意軟件。此外,SecuriDropper還被發現分發偽裝成Chrome瀏覽器的銀行Ermac木馬,以及瞄準數百種加密貨幣和電子銀行的惡意木馬應用。
防護建議:
- 確保應用程序來源可信,并仔細審查軟件的權限和行為;
- 監控和分析異常網絡應用和訪問行為;
- 部署完善的安全防護體系,包括入侵防護系統、反惡意軟件工具、防火墻和其他安全軟件。
05
Jupyter infostealer:能夠逃避檢測的賬號竊取工具
Jupyter infostealer是一種幫助攻擊者竊取賬號憑據并非法訪問數據的新型惡意軟件,主要針對教育、醫療和政府等行業的組織。盡管從技術上講,這種惡意軟件的早期版本自2020年以來就已經存在,但新的變體一直在不斷更新,以逃避檢測,并增加了很多令人不安的新功能。
在最近的攻擊事件監測中,研究人員發現,新版本的Jupyter infostealer工具能夠針對Chrome、Edge和Firefox瀏覽器,利用SEO中毒和搜索引擎重定向來傳播。在最新的攻擊案例中,Jupyter infostealer能夠利用PowerShell命令來修改和簽名私鑰,并將惡意軟件冒充為合法簽名的文件來逃避審查,甚至已經能夠訪問受害者的設備。
Jupyter infostealer的感染主要是通過惡意網站、非法下載和網絡釣魚郵件發生的。在一份美國政府最新發布的2024年預算在線副本中,研究人員發現已被感染Jupyter infostealer軟件。
防護建議:
- 安裝防病毒軟件、防火墻及其他安全軟件;
- 使用應用白名單,只允許獲得許可的應用程序在設備上運行;
- 定期更新軟件,及時修復已知的漏洞;
- 開展用戶培訓和教育,增強安全意識;
- 實施網絡分段,將敏感信息和應用與其他網絡應用隔離開來;
- 部署最新的入侵檢測系統,及時識別惡意活動的跡象。
參考鏈接:
https://www.cybertalk.org/2023/11/07/5-emerging-malware-threats-record-breaking-malware-activity/
來源:安全牛