Evilnum集团以基于Python的新型RAT瞄准金融科技公司 Python编程:Microsoft和NASA发布学生学习门户 如何在Python中使用if语句 为什么Python不会很快消失 Python编程:微软最新的初学者课程着眼于为NASA项目开发 可视化的Datapane Python工具动手指南 物联网如何在不久的将来改变我们的体验 计算机操作系统的使用率 大脑般的计算机首次亮相 智能电视是印度的未来 小米是印度的先驱 物联网和医疗保健技术融合以提供更好的患者护理 超级电容器Usurp电池技术 OP-ED:第四次工业革命中蓬勃发展 研究显示长期演进(LTE)物联网(IOT)市场稳定增长 BITS Pilani Hyd孵化创业公司开发支持IoT的智能面罩 物联网在航运和海事行业中的作用 基于云的数据库市场2020年研究分析 艾默生以16亿美元收购美国技术软件公司OSI 2020年将提供7种基于分析的健身跟踪软件 新的恶意软件使用Tor和Bittorrent开采加密和窃取资金 数以百万计的WordPress网站正在通过最新的插件错误进行探测和攻击 保护您的网站免受数据泄露的简单方法 多年的物联网黑客攻击,但我们实际上学到了什么 如何在2020年成为不受限制的免费Fire黑客 阿根廷移民:黑客窃取了秘密情报文件 像职业黑客一样,这个少年攻击了学校服务器并强迫在线课程停止 特斯拉模型3:这是黑客在您的屏幕上发现的问题 如果每个人都讨厌面向对象的编程,那么为什么它是如此广泛地展开 新的莫尔黑德天文馆图画书探索了其第一位技术员的故事 Windows和Mac的3个快速提示 DOOM正在运行妊娠测试?程序员通过其他设备尝试 Cookies能解决您的计算机问题吗 Gift在NKU建立了计算机科学专业教授职位 OSU的计算机漏洞暴露了1,700名学生和教职员工的个人信息 NSF计算机与信息科学与工程系副主任于9月11日进行虚拟演讲 终极防御:什么是气隙计算机 2020年医疗保健市场的物联网全球增长分析 给物联网设备用户和制造商的建议 物联网:物联网支出有望反弹 什么是物联网及其运作方式?物联网解释 如何以程序员的身份加入Disbelief 新的Python程序员 首先学习这些概念 程序员生活中的一天 解决问题时如何像程序员一样思考 如何为您的创业者找到程序员 7位著名的计算机程序员 他们从小就开始编程 为什么当程序员会让我成为更好的医生 程序员如何判断开源项目 世界顶级公司使用哪种编码语言 根据Upwork,目前15种收入最高的编程语言
您的位置:首页 >程序人生 >

Evilnum集团以基于Python的新型RAT瞄准金融科技公司

研究人员警告称,以针对金融技术公司为目标的Evilnum集团已经为其武器库增加了新的恶意软件和感染技巧。该组织被怀疑会向其他实体提供APT式的黑客聘用服务,这种增长和令人担忧的趋势正在改变威胁格局。

Evilnum于2018年开始出现在安全公司的雷达上,当时它开始以鱼叉式网络钓鱼电子邮件为目标瞄准整个欧洲的FinTech公司,这些电子邮件试图通过恶意文件扫描信用卡,公用事业账单,身份证,驾驶执照和其他要求的身份验证文件金融部门的了解您的客户(KYC)法规。

电子邮件中包含指向Google云端硬盘上托管的ZIP存档的链接,其中包含特制的Windows快捷方式文件(LNK),以JPG图片的形式出现。LNK文件附加有恶意JavaScript代码,这些恶意代码一旦执行便启动了感染链,从而导致部署了基于JavaScript的木马。

安全公司Cyber​​eason的研究人员最近观察到Evilnum技术的一些变化。现在,该组的ZIP存档不再包含伪装成图片的多个LNK文件,而是包含一个LNK文件,该文件以扫描所需KYC文档的PDF文档的形式出现。该LNK文件还附加了JavaScript,但是该代码仅用作放置程序,而不是基于JavaScript的成熟木马,它部署了一个用Python编写的新恶意软件程序。

PyVil RAT如何工作

Cyber​​eason将这种新的Python恶意软件称为PyVil RAT,为黑客提供了多种功能,其中包括:

键盘记录

执行命令

截屏

下载其他充当模块的基于Python的脚本

下载和上传可执行文件

打开SSH外壳

收集有关系统和已安装程序的信息,例如防病毒,Google Chrome版本或连接的USB设备

用Python编写的恶意软件不是一个新的发展,但并不常见。Python是一种脚本语言,在Linux系统上受到安全专业人员和黑客的欢迎,但是它不能在Windows上本地执行,并且需要类似于Java的单独的运行时环境。Python程序可以直接编译为独立的Windows可执行文件,但是由于它们必须包含运行时通常提供的所有库,因此它们的大小最终变得非常大,这对于恶意软件作者来说并不有吸引力。

先前的Evilnum攻击使用注册表运行键来实现持久性,但是新的感染链通过称为“杜比选择器任务”的Windows计划任务来实现此目的。杜比(Dolby)是音频压缩技术的名称,该技术已集成到各种音频驱动程序中。攻击者劫持了该名称,使计划任务看起来像是由合法的系统驱动程序或组件创建的。同样,攻击者使用合法Java Web Start Launcher程序的木马版本执行恶意代码,然后再下载PyVil RAT。这种文件操作破坏了Oracle对原始文件的数字签名,但是人们习惯于在Windows上执行非数字签名的文件。

感染链还添加了一个恶意计划任务,称为“ Adob​​e Update Task”,该任务执行另一个恶意下载程序,该恶意程序构成Adobe的Flash Player,称为Fplayer.exe,该文件是Nvidia的Stereoscopic 3D驱动程序安装程序的恶意修改版本。似乎Evilnum攻击者通过假冒管理员可能不会在Windows系统上发现可疑的各种合法程序,竭尽全力保持持久性和隐身性。

PyVil RAT使用HTTP与命令和控制(C&C)服务器进行通信,但是内部的数据已使用硬编码密钥进行了加密,以将其隐藏在网络级Web流量检查产品中。过去,Evilnum将其恶意软件配置为仅使用IP地址而不是域名与命令和控制服务器通信。但是,在过去的几周里,Cyber​​eason已发现与Evilnum C&C基础结构使用的IP地址关联的域越来越多,这标志着策略的变化以及基础结构的不断发展。

研究人员还观察到PyVil RAT下载了自定义版本的开放源代码密码转储工具LaZagne,这是一种利用Python编写的后开发工具,在渗透测试人员中很受欢迎。它的代码可直接加载到内存中,而无需接触磁盘,并可用于从许多应用程序中提取密码,这些应用程序包括浏览器,聊天程序,游戏,数据库,sysadmin工具等。

恶魔的攻击方式

Evilnum显示与APT组关联的各种攻击模式:

仔细选择受害者

高度针对性和定制化的攻击媒介

专注于隐身和持久性机制

使用双重用途的开源工具,使检测和归因更加困难

对恶意软件使用脚本语言而不是已编译的C代码

通过shell命令动手进行黑客攻击

无文件执行

Cyber​​eason研究人员说:“ Evilnum小组在其职业生涯中使用了不同类型的工具,包括JavaScript和C#木马,从“即服务即服务”的Golden Chickens中购买的恶意软件以及其他现有的Python工具。”“由于所有这些不同的变化,获得对其金融科技目标的初始访问权的主要方法保持不变:使用虚假的了解您的客户(KYC)文档来欺骗金融业员工以触发该恶意软件。”

卡巴斯基实验室(Kaspersky Lab)的研究人员在最近的一份报告中分析了一个名为“ DeathStalker”的雇佣黑客组织,该组织瞄准了来自多个国家和大洲的律师事务所,财富咨询公司和金融技术公司。尽管DeathStalker的主要植入程序Powersing是用PowerShell编写的,但卡巴斯基的研究人员发现,DeathStalker的工具集与Janicab和Evilnum等威胁之间存在技术重叠甚至代码相似之处。

卡巴斯基的研究人员说:“尽管这些观点本身不足以得出结论,但我们认为,它们在一起可以使我们充满信心地评估Powersing,Evilnum和Janicab是由同一团体经营的。”“目前无法透露的行业合作伙伴与我们共享的其他数据也支持这一结论。”

某些相似之处也可能是由于Evilnum使用了与其他攻击者相同的恶意软件即服务提供商,尤其是业界以Golden Chickens的名义跟踪的提供商。

在过去的几年中,APT技术和工具的商品化使网络犯罪分子变得更加复杂,更难被发现,这包括出于财务动机的群体-Carbanak,Cobalt或FIN7是很好的例子-以及勒索软件帮派,例如Ryuk。网络间谍活动已不再是民族国家行为者的领域,现在也由雇佣黑客组织为私人实体执行。这使许多公司和组织,尤其是中小型公司和组织承受着越来越大的压力来防御他们可能无法应对的复杂威胁。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。