Palo Alto Networks:黑客組織Patchwork仍在南亞次大陸「興風作浪」
「用指尖改變世界」
在過去的幾個月里,Palo Alto Networks公司的 Unit 42威脅研究團隊發現黑客組織Patchwork(也稱 Dropping Elephant和Monsoon)一直在針對位於南亞次大陸的目標開展惡意攻擊活動。
該組織在攻擊活動中利用了兩個EPS漏洞,並試圖通過誘餌文檔傳播其修改後的BADNEWS惡意軟體。這是一個後門程序,用於為該組織提供對受感染設備的完全控制許可權。
據Unit 42的介紹,誘餌文檔中包含了能夠針對漏洞CVE-2015-2545和CVE-2017-0261利用的惡意嵌入式EPS文件,這是兩個已經被公開披露的漏洞。在今年1月份之前,Patchwork主要熱衷於利用CVE-2017-0261,但到了1月份下旬,新出現的誘餌文檔似乎放棄了此漏洞,而是轉向更早被披露的CVE-2015-2545。
近期活動中出現的誘餌文檔涉及多個主題,其中包括巴基斯坦陸軍最近的軍事促進活動、與巴基斯坦原子能委員會(Pakistan Atomic Energy Commission)有關的信息以及與巴基斯坦內政部有關的信息。
雖然主題不同,但誘餌文檔傳播的最終有效載荷都是經修改後的BADNEWS更新版本。當惡意EPS文件中的Shellcode執行時,會下載以下三個文件:
%PROGRAMDATA%MicrosoftDeviceSyncVMwareCplLauncher.exe
%PROGRAMDATA%MicrosoftDeviceSyncvmtools.dll
%PROGRAMDATA%MicrosoftDeviceSyncMSBuild.exe
VMwareCplLauncher.exe是合法且經過簽名的VMware可執行文件,用於提供BADNEWS的最終有效載荷;vmtools.dll是一個經過修改的DLL,可以確保惡意軟體的持久性並載入MSBuild.exe;MSBuild.exe冒用了合法的Microsoft Visual Studio工具的文件命名,而實質上是BADNEWS的執行。
文件在被下載後,VMwareCplLauncher.exe將首先執行,然後載入vmtools.dll。此DLL文件會創建一個名為BaiduUpdateTask1的計劃任務,該計劃任務會每隔一分鐘嘗試運行惡意MSBuild.exe。
下圖顯示了vmtools.dll創建的計劃任務,以確保BADNEWS能夠一直保持在受感染設備上持續運行。
就如文章一開始說的那樣,BADNEWS惡意軟體家族通常被用於充當後門,通過HTTP進行通信。它向攻擊者提供了許多功能,包括下載和執行附加信息、上載文檔以及屏幕截圖。
本文由黑客視界綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。
※多功能惡意軟體RedDrop來襲 竊取隱私、偷竊錢財都不是事兒
※下載量過億的三款索尼克系列遊戲應用被指泄露用戶敏感數據
TAG:黑客視界 |