Cyber​​spies点击免费工具来制作强悍的恶意软件框架
发布时间:2021-11-11 09:02 所属栏目:125 来源:互联网
导读:在过去一年中,一群攻击者已经设法感染了数百家属于政府机构的计算机,并使用JavaScript代码和公开的工具一起缝合了恶意软件框架。 来自Antivirus公司Bitdefender的研究人员分析的攻击表明,Cyberespionage团体不一定需要在开发独特和强大的恶意软件计划方面
|
在过去一年中,一群攻击者已经设法感染了数百家属于政府机构的计算机,并使用JavaScript代码和公开的工具一起缝合了恶意软件框架。 来自Antivirus公司Bitdefender的研究人员分析的攻击表明,Cyberespionage团体不一定需要在开发独特和强大的恶意软件计划方面投入大量资金以实现目标。事实上,使用专为系统管理局而设计的公开工具可以增加攻击效率,并使安全供应商更难地检测到它并将其链接到特定的威胁演员。 Bitdefender研究人员称,新发现的攻击小组Netrepser并追溯到2016年5月的一些攻击活动。该小组仍然活跃,但对于Bitdefender的知识,它之前从未被公开过签署过,这可能部分是因为它的广告系列是高度目标。 在分析NetRepser命令和控制服务器为感染分配唯一跟踪ID的方式之后,BitDefender研究人员认为攻击组迄今为止遭到500个计算机约500台计算机。这些系统的绝大多数属于政府机构和组织,表明Netrepser的目标是讯连月板,而非经济上有动力的网络犯罪。 Bitdefender拒绝披露政府机构所针对的国家,但讯讯组织组发送的一些矛网络钓鱼电子邮件包含俄罗斯名称和文本的恶意Microsoft Office文件。这并不一定会限制俄罗斯的攻击,因为俄语在许多前苏联成员国使用。 Rogue文档嵌入了它们的恶意宏,并包含用户说明允许执行该代码。这是过去几年的许多攻击中使用的常见恶意软件分销技术。 一旦执行,宏将使用Windows脚本主机(WScript.exe)在Windows上自行执行的.js或.jse扩展,将混淆的javascript文件丢弃.js或.jse扩展。代码还会创建注册表启动条目或计划任务,具体取决于Windows版本,以确保在每个系统重新引导后执行js或JSE脚本。 JavaScript代码构成了NetRepser的恶意软件平台的核心。它处理与命令和控制服务器的通信,并根据从中接收的命令下载其他组件。它还可以通过CMD.EXE执行shell命令以获取有关系统的信息,列出正在运行的进程或在目录中枚举文件。 恶意软件的模块实际上是系统管理员使用的免费工具。例如,NetRepser下载并安装WinRAR归档实用程序,然后它将在从受感染的计算机中提取它之前压缩和密码保护被盗信息。 它还使用由名为NIRSOFT的公司开发的多个实用程序,包括电子邮件密码恢复和IM密码恢复工具。这些工具可用于恢复忘记的密码,但NetRepser使用它们来从电子邮件和即时消息传递应用程序中窃取帐户凭据。 (编辑:ASP站长网) |
相关内容
对话黄仁勋全解元宇宙
怎样理解你的DBA
跟随云时代玩转大数据网友评论
推荐文章
热点阅读
