Cyberspies点击免费工具来制作强大的恶意软件框架
在过去一年中,一群攻击者已经设法感染了数百家属于政府机构的计算机,并使用JavaScript代码和公开的工具一起缝合了恶意软件框架。
来自Antivirus公司Bitdefender的研究人员分析的攻击表明,Cyberespionage团体不一定需要在开发独特和强大的恶意软件计划方面投入大量资金以实现目标。事实上,使用专为系统管理局而设计的公开工具可以增加攻击效率,并使安全供应商更难地检测到它并将其链接到特定的威胁演员。
Bitdefender研究人员称,新发现的攻击小组Netrepser并追溯到2016年5月的一些攻击活动。该小组仍然活跃,但对于Bitdefender的知识,它之前从未被公开过签署过,这可能部分是因为它的广告系列是高度目标。
在分析NetRepser命令和控制服务器为感染分配唯一跟踪ID的方式之后,BitDefender研究人员认为攻击组迄今为止遭到500个计算机约500台计算机。这些系统的绝大多数属于政府机构和组织,表明Netrepser的目标是讯连月板,而非经济上有动力的网络犯罪。
Bitdefender拒绝披露政府机构所针对的国家,但讯讯组织组发送的一些矛网络钓鱼电子邮件包含俄罗斯名称和文本的恶意Microsoft Office文件。这并不一定会限制俄罗斯的攻击,因为俄语在许多前苏联成员国使用。
Rogue文档嵌入了它们的恶意宏,并包含用户说明允许执行该代码。这是过去几年的许多攻击中使用的常见恶意软件分销技术。
一旦执行,宏将使用Windows脚本主机(WScript.exe)在Windows上自行执行的.js或.jse扩展,将混淆的javascript文件丢弃.js或.jse扩展。代码还会创建注册表启动条目或计划任务,具体取决于Windows版本,以确保在每个系统重新引导后执行js或JSE脚本。
JavaScript代码构成了NetRepser的恶意软件平台的核心。它处理与命令和控制服务器的通信,并根据从中接收的命令下载其他组件。它还可以通过CMD.EXE执行shell命令以获取有关系统的信息,列出正在运行的进程或在目录中枚举文件。
恶意软件的模块实际上是系统管理员使用的免费工具。例如,NetRepser下载并安装WinRAR归档实用程序,然后它将在从受感染的计算机中提取它之前压缩和密码保护被盗信息。
它还使用由名为NIRSOFT的公司开发的多个实用程序,包括电子邮件密码恢复和IM密码恢复工具。这些工具可用于恢复忘记的密码,但NetRepser使用它们来从电子邮件和即时消息传递应用程序中窃取帐户凭据。
另一个名为WebBrowserPassView的NIRSOFT工具用于提取存储在浏览器内的密码,而Sdelete实用程序将使用“SysInternals包的一部分用于安全擦除文件。
NetRepser Malware还可以下载并安装键盘记录器并窃取存储在计算机上的文件。最终,它拥有一个人希望在设计用于信息盗窃的恶意软件程序中找到的所有功能。
虽然NIRSOFT计划并不是恶意,但他们过去已经被网络犯罪分子滥用,因此许多防病毒和安全程序将它们检测到潜在的风险应用。为了避免这种检测,NetRepser攻击者通过使用以前观看的Bitdefender研究人员的定制二进制包装技术来修改实用程序。
“通过依靠高级网络间谍活动的易用工具,NetRepser背后的威胁演员不仅最大限度地减少了其开发和运营成本,而且还确保攻击不能归因于已知的威胁行动者或国家国家,”波格丹说Bitdefender的高级电子威胁分析师Botezatu通过电子邮件。
此外,即使在系统上检测到这些工具中的一个,组织的安全团队也可能将警报视为错误的正面或管理员或用户尝试排除IT问题的情况,而不是严重的恶意软件事件博奇茨不说,需要调查。
使用恶意脚本而不是二进制恶意软件是一种趋势。去年,安全研究人员发现了一个文件加密的ransomware程序,称为Raa完全在JavaScript中写入并通过Windows脚本主机执行。
在过去的一年里,Sy的攻击浪潮大量依赖于PowerShell,这是一个强大的脚本语言,内置于用于自动化系统管理任务的Windows。
使用标准的Windows Utilities和第三方的双用工具,如MeterProrder和Mimikatz在攻击中也越来越普遍。Wikileaks 3月泄露的文件也表明,资助的智力代理商,如中央情报局的特意可结在其网络运营中的开源代码位,甚至来自已知恶意软件的技术和组件。这种虚假的标志操作旨在将恶意软件分析人员抛出虚假的引导和复杂的归属工作。
为了阻止基于JavaScript的攻击,组织可以强制使用数字签名的脚本或者在不需要的情况下完全禁用Windows脚本主机。
