2021 年 1 月至 7 月,一名網絡威胁参与者与针对蒙古、俄罗斯、白俄罗斯、加拿大和美国的 10 次攻击有关,这些攻击涉及在受感染系统上部署远程访问木马 (RAT) ,根据新的研究。
入侵归因于名为 APT31 (FireEye) 的高级持续威胁,网络安全社区以 Zirconium (Microsoft)、Judgment Panda (CrowdStrike) 和 Bronze Vinewood (Secureworks) 等名称对其进行跟踪,包括下一阶段加密的有效载荷从远程命令和控制服务器的检索,随后将其解码,以执行攻击命令。
恶意代码具有下载其他恶意软件的能力,可能使受影响的受害者面临更大的风险,以及执行文件操作、泄露敏感数据,甚至从受感染的机器中删除自身。
“用于处理 [self-delete] 命令的代码特别有趣:使用 bat 文件删除所有创建的文件和注册表项,”Positive Technologies 研究人员 Denis Kuvshinov 和 Daniil Koloskov 说。
防止勒索软件攻击!!
另外值得注意的是,该恶意软件与名为DropboxAES RAT的木马相似,该木马去年被同一威胁组织使用,并依赖 Dropbox 进行命令和控制 (C2) 通信,在其中发现了许多重叠用于注入攻击代码、实现持久性的技术和机制,以及用于删除间谍工具的机制。
研究人员总结道:“所揭示的与研究人员描述的早期版本恶意样本的相似之处,例如在 2020 年,表明该组织正在将其利益的地理范围扩大到可以检测到其日益增长的活动的国家,尤其是俄罗斯。”
本帖最後由 Myasiacloud 於 2021-8-5 15:13 編輯
|
|
