當前位置:
首頁 > 最新 > 黑客通過垃圾郵件群發XTRAT和DUNIHI後門以及 Adwind和Loki木馬

黑客通過垃圾郵件群發XTRAT和DUNIHI後門以及 Adwind和Loki木馬

最新 04-23

用指尖改變世界」

來自趨勢科技的安全研究員Abraham Camba 和 Janus Agcaoili在上周四發表的一篇博文中稱,他們自今年1月份以來發現了一場新的惡意垃圾郵件活動,而這些垃圾郵件主要被用來分發兩個惡意軟體包。

其中一個包含有三種惡意軟體,這包括眾所周知的後門程序XTRAT(又稱「XtremeRAT」, BKDR_XTRAT.SMM)、跨平台遠程訪問木馬 Adwind(由趨勢科技檢測為JAVA_ADWIND.WIL)以及信息竊取者木馬Loki(TSPY_HPLOKI.SM1)。

另一個包含有兩種惡意軟體,這包括上面提到的 Adwind木馬的另一個變種以及具備後門和蠕蟲功能VBScript腳本DUNIHI(VBS_DUNIHI.ELDSAVJ)。

研究人員表示,攻擊者在這場活動中濫用了合法的免費動態DNS服務hopto[.]org,並且試圖通過一次性分發多種惡意軟體來增加感染成功率。這是一種目的性很明確的策略:如果一種惡意軟體被檢測出來,其他的惡意軟體會嘗試繼續完成感染工作。

由於兩個惡意軟體包中都包含有Adwind,因此研究人員基於這款惡意軟體對這種活動的感染情況進行了追蹤。在今年1月1日至4月17日期間,共有5535個獨特的Adwind感染樣本被檢測到。其中,美國、日本、澳大利亞、義大利、中國台灣、德國和英國被認為是受影響最嚴重的國家和地區。


這個惡意軟體包通過一個富文本(RTF)文檔被提供。當RTF文檔被執行時,它將從一個由攻擊者控制的網站下載Loki。

Loki是一款在黑客論壇中被出售的惡意軟體,它被描述為密碼和加密貨幣錢包竊取器。另外,Loki還能夠從Filezilla等FTP客戶端、Mozilla Firefox、Google Chrome和Safari等網頁瀏覽器以及Microsoft Outlook和Mozilla Thunderbird等電子郵件客戶端收集數據。

不僅如此,它同樣能夠從諸如PuTTY-a終端模擬器、系統控制台和網路文件傳輸應用程序等IT管理工具中竊取數據,並能夠記錄擊鍵以及充當其他惡意軟體的下載程序。

在這場活動中,Loki便在感染初始階段充當了Adwind和XTRAT的下載程序,它會在「落地」之後會下載Adwind和XTRAT。

下面讓我們來看看Adwind和XTRAT都具備哪些功能。自2013年以來,Adwind就可以在所有主流操作系統(Windows、Linux、MacOSX和Android)上運行,並且以具備多種後門功能而聞名,部分功能如下所示:

信息竊取

文件和註冊表管理

遠程桌面

遠程shell

流程管理

上傳,下載和執行文件

XTRAT與Adwind具備類似的功能,例如信息竊取、文件和註冊表管理以及遠程桌面等。但除此之外,它還具備以下功能:

屏幕截圖桌面

通過網路攝像頭或麥克風錄製周圍環境

上傳和下載文件

註冊表操作(讀取、寫入和執行)

進程操作(執行和終止)

服務操作(停止、啟動、創建和修改)

執行遠程shell並控制受害者的系統

Adwind和XTRAT在被下載後,會刪除自身副本並創建自動啟動註冊表,禁用安全檢測工具和其他可能存在的安全產品。在這之後,它們都會連接到一個相同的命令和控制(C&C)伺服器,以上傳竊取的信息並等待命令。

值得注意的是,Adwind和XTRAT都具備高度可配置性。換句話來說,攻擊者可以通過為它們增添插件來實現更多的惡意功能。

第二個惡意軟體包(Adwind和DUNIHI)

研究人員在另一個惡意軟體包中同樣發現了Adwind,不同的是,它屬於另外一個變種並且與DUNIHI一起被提供。一個JAR 載入器(JAVA_JRAT.DRP)會通過垃圾郵件發送一個VBS 載入器(VBS_JRAT.DRP),而後者則被用於下載Adwind和DUNIHI。

需要注意的是,這個VBS載入器會檢查目標系統是否安裝了Java運行時環境(JRE)。如果沒有,則會在目標系統中下載並安裝JRE。這個操作是為了確保Adwind能夠正常運行,因為Adwind的運行需要JRE的支持。

這個Adwind變種具備上述提到的Adwind木馬相同的功能,而DUNIHI則具備以下後門功能:

執行文件

自我更新

自我卸載

下載文件

上傳文件

枚舉驅動程序

枚舉文件和文件夾

枚舉進程

執行Shell命令

刪除文件和文件夾

終止進程

休眠

總結

研究人員表示,通過這場活動我們可以看出,網路犯罪分子正在試圖通過一次性分發多種惡意軟體來增加感染成功率。為了保護計算機、伺服器、移動設備或者其他設備免受跨平台惡意軟體(如Adwind)的攻擊,網路管理人員似乎有必要定期保持網路和系統的修補和更新。

另外,由於Adwind的兩個變種都是通過電子郵件分發的,因此網路管理人員還必須確保電子郵件網關的安全,以減輕濫用電子郵件作為系統和網路入口點的威脅。由於社會工程是上述垃圾郵件活動的一個重要工具,所以企業也應該致力於員工安全意識的培訓,以確保他們養成良好的安全習慣。

本文由黑客視界綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 黑客視界 的精彩文章:

Proofpoint:新的Office文檔漏洞利用工具包ThreadKit已被發現
勒索軟體Mobef現新變種 攻擊目標瞄準義大利

TAG:黑客視界 |