Hackernews 编译,转载请注明出处:
在2022年3月至6月期间,多达三个不同但相关的活动被发现将各种恶意软件(包括 ModernLoader、RedLine Stealer和加密货币矿工)发送到受感染系统上。
Cisco Talos研究员Vanja Svajcer在与The Hacker News分享的一份报告中说:“攻击者使用PowerShell、.NET程序集、HTA和VBS文件在目标网络中传播,最终丢弃其他恶意软件,例如SystemBC特洛伊木马和DCRat,以实现其操作的各个阶段。”
该恶意植入程序名为ModernLoader,旨在为攻击者提供对受害者计算机的远程控制,从而使攻击者能够部署额外的恶意软件、窃取敏感信息,甚至使计算机陷入僵尸网络。
Cisco Talos将感染归因于一名以前没有记录但会说俄语的黑客,理由是使用了现成的工具。潜在目标包括保加利亚、波兰、匈牙利和俄罗斯的东欧用户。
这家网络安全公司发现的感染链涉及试图破坏易受攻击的网络应用程序(WordPress和CPanel),通过假冒亚马逊礼品卡的文件传播恶意软件。
第一阶段有效负载是一个HTML应用程序(HTA)文件,它运行托管在命令和控制(C2)服务器上的PowerShell脚本,以启动临时有效负载的部署,最终使用称为进程空心化的技术注入恶意软件。
ModernLoader(又名Avatar bot)被描述为一种简单的.NET远程访问木马,它具有收集系统信息、执行任意命令或从C2服务器下载并运行文件的功能,允许攻击者实时更改模块时间。
Cisco的调查还发现了2022年3月的两个早期活动,其作案手法相似,利用ModerLoader作为主要的恶意软件C2通信,并提供其他恶意软件,包括XMRig、RedLine Stealer、SystemBC、DCRat和Discord令牌窃取程序等。
Svajcer说:“这些活动描绘了一个尝试不同技术的黑客,使用现成的工具表明,攻击者了解成功的恶意软件活动所需的TTP,但他们的技术技能还不足以完全开发自己的工具。”
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文