内存安全周报第146期 | 网络犯罪团伙FIN8利用Sardonic恶意软件变体部署ALPHV勒索软件
一、网络犯罪团伙FIN8利用Sardonic恶意软件变体部署ALPHV勒索软件 (7.18)
近日,一个以经济利益为驱动的网络犯罪团伙引起了广泛关注,他们利用改进的Sardonic恶意软件版本,通过网络后门部署了BlackCat勒索软件有效负载。
详细情况
FIN8采用一系列复杂的攻击手段,包括BadHatch、PoSlurp/PunchTrack、PowerSniff/PunchBuggy/ShellTea等POS恶意软件变体,还利用了Windows 0day漏洞和鱼叉式网络钓鱼活动。
此外,该黑客组织还从BadHatch转向基于C++的Sardonic后门,该后门能够收集系统信息、执行命令,并部署其他恶意模块作为DLL插件。
2022年12月,研究人员已监测到Sardonic后门的升级版本。然而,此次升级重写了大部分后门代码,外观与此前版本不同。此外,后门代码采用纯C实现,而非C++标准库。
FIN8的最终攻击目标是窃取销售点(POS)系统中的支付卡数据,但研究人员发现该网络犯罪团伙已将目标从销售点扩大到勒索软件攻击,以谋取利润最大化。
参考链接
二、微软称黑客将Exchange服务器变成恶意软件控制中心 (7.19)
近日,Turla黑客组织利用名为“DeliveryCheck”的新恶意软件后门对微软Exchange服务器发起网络攻击。
详细情况
Turla黑客组织,也被称为Secret Blizzard、KRYPTON和UAC-0003,多年来一直发动与西方利益相关的网络攻击。最近,该组织进行了一系列Snake网络间谍恶意软件僵尸网络攻击。
微软已发布攻击报告,研究人员指出Turla黑客发起了一场新的网络攻击,目标是乌克兰和东欧国防部门。
此次攻击始于一封含有恶意宏的Excel XLSM附件的钓鱼电子邮件。用户一旦激活这些宏,它们会执行一个PowerShell命令,以创建一个伪装成Firefox浏览器更新程序的计划任务。
该任务还会下载DeliveryCheck后门(又称CapiBar和GAMEDAY),并在内存中启动,连接到黑客的命令和控制服务器,接收要执行或部署其他恶意软件载荷的命令。
微软指出,这些恶意软件载荷嵌入后会从XSLT样式表中启动。一旦设备感染,黑客可以利用后门,利用Rclone工具从受感染设备中窃取数据。DeliveryCheck的独特之处在于其包含了一个Microsoft Exchange服务器端组件,这将服务器变成黑客的命令和控制中心。微软称,这个组件通过理想管理配置状态(Desired State Configuration,DSC)安装。DSC是一个PowerShell模块,允许管理员创建标准化的服务器配置,并将其应用于设备。通常,该功能用于创建默认配置模板,之后可以用该模板自动配置具有相同设置的其他设备。
黑客使用DSC自动加载base64编码的Windows可执行文件,将合法的Exchange服务器转变为恶意软件分发服务器。在攻击过程中,Turla投放了KAZUAR信息窃取后门,这是一个“功能齐全的Secret Blizzard植入物”。
该恶意软件是一个网络间谍工具,允许黑客在设备上执行JavaScript,从事件日志中窃取数据,获取有关系统文件的信息,并窃取各种程序的认证令牌、Cookie和凭据,包括浏览器、FTP客户端、VPN软件、KeePass、Azure、AWS和Outlook。
微软指出,黑客专门针对热门Signal桌面消息应用的文件进行攻击,从而浏览私密的Signal对话。
参考链接
