恶意软件Dropper支持十几种诱饵文档格式

  • 时间:
  • 浏览:50
  • 来源:快三分分彩
恶意软件Dropper支持十几种诱饵文档格式 Palo Alto Networks安全研究人员警告说,最近发现的一种恶意软件捕获器能够使用近十种诱饵文档文件格式来丢弃各种有效载荷。

被称为CARROTBAT的定制滴管正用于提供主要与韩国地区有关的诱饵,围绕加密货币,加密货币兑换和政治事件等主题。

2017年12月袭击英国政府机构,该机构使用了SYSCON远程访问木马(RAT),允许安全研究人员发现由于基础设施重叠导致的CARROTBAT滴管。

迄今为止,Palo Alto Networks确定了29个独特的CARROTBAT样本,共包含12个经过确认的独特诱饵文件。滴管首次出现在3月2018年,但在过去三个月中观察到了大部分活动。

观察到威胁提供了各种有效载荷,例如旧版本中的SYSCON,以及较新样本中的OceanSalt恶意软件系列。

安全研究人员说,CARROTBAT采用基本的命令混淆,但并不复杂,尽管它支持各种类型的诱饵文件。

Palo Alto Networks称为破碎块的CARROTBAT攻击特征包括迄今为止发现的所有滴管样本,以及恶意软件支持的11种诱饵文档文件格式,即.doc,.docx,.eml, .hwp,.jpg,.pdf,.png,.ppt,.pptx,.xls和.xlsx。

恶意软件可以删除并打开嵌入式诱饵文件,然后下载并运行一个命令执行目标计算机上的有效负载。通过Microsoft Windows内置certutil实用程序下载并执行有效负载。

已确定的CARROTBAT样本是根据其时间戳在2018年3月至2018年9月之间编制的。在3月到7月之间,滴管提供了多个SYSCON实例。从六月开始,OceanSalt也开始服务于受害者,并且这个恶意软件家族的攻击仍在继续。

CARROTBAT基础设施也被观察到与KONNI的重叠,KONNI被认为已经使用了四年多,而且历史上一直专注于东南亚地区的目标。

今年3月,迈克菲还详细介绍了一系列攻击事件对于对朝韩事务感兴趣并且为了妥协目的而使用SYSCON和KONNI的演员。

“使用CARROTBAT,我们能够找到相关的OceanSalt,SYSCON和KONNI活动。遇到的各种重叠是值得注意的,我们怀疑这种威胁活动可能都属于同一个威胁行为者。但是,我们认为目前没有足够的证据可以完全确定地提出这一说法,“Palo Alto Networks总结道。

相关:'Oceansalt操作'重用中文组APT1代码

相关:用于针对韩朝事务的攻击中使用的新恶意软件

猜你喜欢

恶意软件攻击后,FedEx利润达到3亿美元

恶意软件攻击后,FedEx利润达到3亿美元6月份遭遇国际快递服务公司TNTExpress的恶意软件攻击对联邦快递在最近一个季度的利润产生了大约3亿美元的负面影响。TNT快递,联

2019-01-26

恶意软件崛起

恶意软件崛起恶意广告攻击继续上升。品牌和消费者受到威胁。热门网站,博客和广告网络正迅速成为网络犯罪分子,身份窃贼和黑客窃取消费者信息和分发恶意内容的首选方式。今天最常见的攻击是

2019-01-26

恶意软件和蚊子有什么共同之处?比你想象的还要多。

恶意软件和蚊子有什么共同之处?比你想象的还要多。像蚊子一样,恶意软件无处不在,并且是一个强大的对手......恶意软件似乎无处不在,战斗难度极大。它可以采取多种形式,并且越来越

2019-01-26

恶意软件利用幽灵,崩溃的缺陷涌现

恶意软件利用幽灵,崩溃的缺陷涌现研究人员发现了130多个恶意软件样本,旨在利用最近披露的Spectre和MeltdownCPU漏洞。虽然大多数样本似乎处于测试阶段,但我们很快就

2019-01-26

恶意软件创建者承认构建和销售LuminosityLink RAT

恶意软件创建者承认构建和销售LuminosityLinkRAT一名肯塔基州男子在美国法院承认开发和分发名为LuminosityLink的远程访问木马。21岁的肯塔基州斯坦福大学

2019-01-26