来自趋势科技的安全研究员Abraham Camba 和 Janus Agcaoili在上周四发表的一篇博文中称,他们自今年1月份以来发现了一场新的恶意垃圾邮件活动,而这些垃圾邮件主要被用来分发两个恶意软件包。
其中一个包含有三种恶意软件,这包括众所周知的后门程序XTRAT(又称“XtremeRAT”,BKDR_XTRAT.SMM)、跨平台远程访问木马 Adwind(由趋势科技检测为JAVA_ADWIND.WIL)以及信息窃取者木马Loki(TSPY_HPLOKI.SM1)。
另一个包含有两种恶意软件,这包括上面提到的 Adwind木马的另一个变种以及具备后门和蠕虫功能VBScript脚本DUNIHI(VBS_DUNIHI.ELDSAVJ)。
研究人员表示,攻击者在这场活动中滥用了合法的免费动态DNS服务hopto[.]org,并且试图通过一次性分发多种恶意软件来增加感染成功率。这是一种目的性很明确的策略:如果一种恶意软件被检测出来,其他的恶意软件会尝试继续完成感染工作。
由于两个恶意软件包中都包含有Adwind,因此研究人员基于这款恶意软件对这种活动的感染情况进行了追踪。在今年1月1日至4月17日期间,共有5535个独特的Adwind感染样本被检测到。其中,美国、日本、澳大利亚、意大利、中国台湾、德国和英国被认为是受影响最严重的国家和地区。
第一个恶意软件包(Adwind、XTRAT和Loki)
这个恶意软件包通过一个富文本(RTF)文档被提供。当RTF文档被执行时,它将从一个由攻击者控制的网站下载Loki。
Loki是一款在黑客论坛中被出售的恶意软件,它被描述为密码和加密货币钱包窃取器。另外,Loki还能够从Filezilla等FTP客户端、Mozilla
Firefox、Google Chrome和Safari等网页浏览器以及Microsoft Outlook和Mozilla Thunderbird等电子邮件客户端收集数据。
不仅如此,它同样能够从诸如PuTTY-a终端仿真器、系统控制台和网络文件传输应用程序等IT管理工具中窃取数据,并能够记录击键以及充当其他恶意软件的下载程序。
在这场活动中,Loki便在感染初始阶段充当了Adwind和XTRAT的下载程序,它会在“落地”之后会下载Adwind和XTRAT。
Loki是一款在黑客论坛中被出售的恶意软件,它被描述为密码和加密货币钱包窃取器。另外,Loki还能够从Filezilla等FTP客户端、Mozilla Firefox、Google Chrome和Safari等网页浏览器以及Microsoft Outlook和Mozilla Thunderbird等电子邮件客户端收集数据。
不仅如此,它同样能够从诸如PuTTY-a终端仿真器、系统控制台和网络文件传输应用程序等IT管理工具中窃取数据,并能够记录击键以及充当其他恶意软件的下载程序。
在这场活动中,Loki便在感染初始阶段充当了Adwind和XTRAT的下载程序,它会在“落地”之后会下载Adwind和XTRAT。
下面让我们来看看Adwind和XTRAT都具备哪些功能。自2013年以来,Adwind就可以在所有主流操作系统(Windows、Linux、MacOSX和Android)上运行,并且以具备多种后门功能而闻名,部分功能如下所示:
1、信息窃取
2、文件和注册表管理
3、远程桌面
4、远程shell
5、流程管理
6、上传,下载和执行文件
XTRAT与Adwind具备类似的功能,例如信息窃取、文件和注册表管理以及远程桌面等。但除此之外,它还具备以下功能:
1、屏幕截图桌面
2、通过网络摄像头或麦克风录制周围环境
3、上传和下载文件
4、注册表操作(读取、写入和执行)
5、进程操作(执行和终止)
6、服务操作(停止、启动、创建和修改)
7、执行远程shell并控制受害者的系统
Adwind和XTRAT在被下载后,会删除自身副本并创建自动启动注册表,禁用安全检测工具和其他可能存在的安全产品。在这之后,它们都会连接到一个相同的命令和控制(C&C)服务器,以上传窃取的信息并等待命令。
值得注意的是,Adwind和XTRAT都具备高度可配置性。换句话来说,攻击者可以通过为它们增添插件来实现更多的恶意功能。
第二个恶意软件包(Adwind和DUNIHI)
研究人员在另一个恶意软件包中同样发现了Adwind,不同的是,它属于另外一个变种并且与DUNIHI一起被提供。一个JAR 加载器(JAVA_JRAT.DRP)会通过垃圾邮件发送一个VBS 加载器(VBS_JRAT.DRP),而后者则被用于下载Adwind和DUNIHI。
需要注意的是,这个VBS加载器会检查目标系统是否安装了Java运行时环境(JRE)。如果没有,则会在目标系统中下载并安装JRE。这个操作是为了确保Adwind能够正常运行,因为Adwind的运行需要JRE的支持。
这个Adwind变种具备上述提到的Adwind木马相同的功能,而DUNIHI则具备以下后门功能:
1、执行文件
2、自我更新
3、自我卸载
4、下载文件
5、上传文件
6、枚举驱动程序
7、枚举文件和文件夹
8、枚举进程
9、执行Shell命令
10、删除文件和文件夹
11、终止进程
12、休眠
总结
研究人员表示,通过这场活动我们可以看出,网络犯罪分子正在试图通过一次性分发多种恶意软件来增加感染成功率。为了保护计算机、服务器、移动设备或者其他设备免受跨平台恶意软件(如Adwind)的攻击,网络管理人员似乎有必要定期保持网络和系统的修补和更新。
另外,由于Adwind的两个变种都是通过电子邮件分发的,因此网络管理人员还必须确保电子邮件网关的安全,以减轻滥用电子邮件作为系统和网络入口点的威胁。由于社会工程是上述垃圾邮件活动的一个重要工具,所以企业也应该致力于员工安全意识的培训,以确保他们养成良好的安全习惯。
网友评论