为了更好地识别和预防新一代恶意软件的攻击威胁,帮助企业安全团队保持对恶意软件的信息更新和警惕,专业安全网站CyberTalk.org日前梳理总结了5种值得所有组织高度关注的新兴恶意软件并对其特点进行了研究分析。CyberTalk.org主编Shira Landau认为:相比传统的病毒、木马、僵尸程序等恶意软件,这些新型恶意软件更加隐蔽,也更加危险,代表了恶意软件未来演进发展的重要趋势。
01GootBot:GootLoader恶意软件的新变种
2023年10月,IBM X-Force安全研究团队发现了GootLoader恶意软件的一个新变种“GootBot”,能够在受感染系统上进行更广泛的横向移动并智能化逃避安全监测。
研究人员指出,目前观察到的GootBot活动主要利用搜索引擎优化(SEO)中毒策略,以合同、法律表格或其他业务相关文件为主题,将受害者引向受感染的网站,诱骗他们下载带有病毒的文件,这些文件包含一个模糊处理的JavaScript文件。一旦感染后,大量的GootBot植入物会在整个企业环境中传播。更危险的情况是,每个植入都利用不同的硬编码C2服务器,使攻击难以阻止。
自2014年以来,一直活跃的Gootloader组织就大量依靠搜索引擎优化(SEO)中毒和受损WordPress网站的组合来传播恶意软件。此次发现的“GootBot”变种,表明了传统Gootloader恶意软件的一种战术转变,即在Gootloader感染后将植入物作为有效载荷下载,而不是使用CobaltStrike等后开发框架。同时,也凸显了攻击者在逃避检测和隐蔽操作方面的巨大能力提升。
防护建议:
- 对所有员工开展SEO攻击的安全意识培训,加强对中毒网页的识别和防护;
- 启用浏览器的安全功能和恶意软件防护功能,并确保操作系统及时进行安全更新;
- 确保对网络服务器和网络应用程序进行正确的配置;
- 增强安全意识,从官方渠道安装正版软件。
02BunnyLoader:“网红”版MaaS工具
BunnyLoader是一个新发现的恶意软件即服务(MaaS)工具,目前仍有大量的威胁功能还在开发完善中,主要是为了添加了新功能和错误修复。目前,BunnyLoader已经可以下载和执行有效负载、记录密钥、窃取敏感数据、加密货币以及执行远程攻击命令等。
研究人员发现,BunnyLoader是一种功能更丰富、价格更低廉的恶意软件既服务工具,尽管有很多功能还在开发,但其从上线开始就迅速受到网络犯罪分子的青睐。攻击者只需要花费250美元就可以在暗网上购买BunnyLoader的基本版本,而高级版本的售价也仅要350美元,后者具有更强的反分析、内存注入、检测逃避及额外的持久性机制。
BunnyLoader的核心特点是具有C2面板,该面板可以帮助没有专业背景的网络犯罪分子设置第二阶段有效负载,并启用键盘记录、凭证收集、剪贴板监控(用于窃取加密货币)等攻击功能。
最新分析结果显示,BunnyLoader已经配备了持久驻留机制和反沙箱策略,以确定自身是否在沙箱或模拟环境中运行,如果是的话,它会抛出虚假的架构不兼容错误来逃避分析和检测。此外,该恶意软件还具有截取网络浏览器信息、加密货币钱包、消息应用程序数据窃取等模块,可以充当标准的“信息窃取器”。
防护建议:
- 定期更新操作系统和应用程序补丁,并使用强密码和管理员权限限制等措施;
- 持续检测异常网络访问行为和相关的异常指标,包括异常的代码执行、横向移动等;
- 使用端点防护工具,识别和阻止恶意程序的运行。
03LionTail:既轻量又复杂的后门软件
日前,一个名为“疤痕狮蝎”(Scarred Manticore)的恶意软件组织被观察到使用一种轻量级后门软件“LionTail”,它集合了一组复杂的自定义加载程序和内存驻留恶意有效负载。
该恶意软件具有一个值得注意的组件,是用C语言编写的轻量级但复杂的恶意植入物,使攻击者能够通过HTTP请求远程执行命令,并运行攻击者发送到恶意软件配置中指定的URL有效载荷。
这是一个与已知恶意软件家族没有任何关联的新型恶意软件,因此其使用者往往能够轻松隐藏在合法的流量中而不被发现。
研究人员发现,LionTail恶意软件已被实际应用于针对政府、军事、电信和金融组织的攻击活动中。这些目标组织重点分布在伊拉克、以色列、约旦、科威特等海湾国家和地区组织中。使用它的恶意组织主要从事数据窃取、秘密访问和其他间谍性活动。
防护建议:
- 安装反间谍软件防护工具,并有效开启反间谍软件相关功能;
- 始终使用防火墙,对下载的文件进行安全性检查;
- 定期开展反病毒软件扫描,发现和清除已感染的间谍软件;
- 实施完善的访问控制措施,限制对敏感系统和数据的访问。
04SecuriDropper:针对Android设备的木马软件服务
这是一种能够感染移动Android设备的木马软件即服务(Dropper -as-a- service,DaaS),能够通过伪装成合法的应用程序来感染移动Android设备。在大多数情况下,SecuriDropper会伪装成谷歌应用程序、Android更新、视频播放器、游戏甚至安全应用程序。一旦被下载后,该木马程序就会安装一个有效负载,实际上是某种形式的恶意软件。它通过确保对“读写外部存储”和“安装和删除包”权限的访问来做到这一点。
第二阶段的有效载荷是通过用户欺骗和界面操纵来安装的,因为用户在看到关于应用程序安装的虚假错误信息后,会被提示点击“重新安装”按钮。研究人员已经观察到通过SecuriDropper分发的SpyNote恶意软件。此外,SecuriDropper还被发现分发伪装成Chrome浏览器的银行Ermac木马,以及瞄准数百种加密货币和电子银行的恶意木马应用。
防护建议:
- 确保应用程序来源可信,并仔细审查软件的权限和行为;
- 监控和分析异常网络应用和访问行为;
- 部署完善的安全防护体系,包括入侵防护系统、反恶意软件工具、防火墙和其他安全软件。
05Jupyter infostealer:能够逃避检测的账号窃取工具
Jupyter infostealer是一种帮助攻击者窃取账号凭据并非法访问数据的新型恶意软件,主要针对教育、医疗和政府等行业的组织。尽管从技术上讲,这种恶意软件的早期版本自2020年以来就已经存在,但新的变体一直在不断更新,以逃避检测,并增加了很多令人不安的新功能。
在最近的攻击事件监测中,研究人员发现,新版本的Jupyter infostealer工具能够针对Chrome、Edge和Firefox浏览器,利用SEO中毒和搜索引擎重定向来传播。在最新的攻击案例中,Jupyter infostealer能够利用PowerShell命令来修改和签名私钥,并将恶意软件冒充为合法签名的文件来逃避审查,甚至已经能够访问受害者的设备。
Jupyter infostealer的感染主要是通过恶意网站、非法下载和网络钓鱼邮件发生的。在一份美国政府最新发布的2024年预算在线副本中,研究人员发现已被感染Jupyter infostealer软件。
防护建议:
- 安装防病毒软件、防火墙及其他安全软件;
- 使用应用白名单,只允许获得许可的应用程序在设备上运行;
- 定期更新软件,及时修复已知的漏洞;
- 开展用户培训和教育,增强安全意识;
- 实施网络分段,将敏感信息和应用与其他网络应用隔离开来;
- 部署最新的入侵检测系统,及时识别恶意活动的迹象。
参考链接:
https://www.cybertalk.org/2023/11/07/5-emerging-malware-threats-record-breaking-malware-activity/