1. 程式人生 > >新型sLoad下載器令惡意攻擊活動更加複雜多變

新型sLoad下載器令惡意攻擊活動更加複雜多變

一種名為sLoad的新型PowerShell下載器正在進行測試,它採用了令人印象深刻的偵察戰術和地理圍欄技術。

SLoad於2018年5月首次被發現,它通常會傳播Ramnit銀行木馬(但也被觀察到抓取Gootkit、DarkVNC、Ursnif和PsiXBot)。它需要在交付有效載荷之前瞭解目標。

根據Proofpoint分析,sload所在的惡意軟體收集有關受感染系統的資訊,包括正在執行的程序列表,Outlook資訊以及Citrix相關檔案,它還將抓取目標裝置的截圖。

“這是我們在過去幾個月發現的組成事件的另外一部分,威脅演員繼續採用具有豐富偵察功能、不易被觀察到的載體。通過使用能夠評估受感染系統的裝載器,參與者可以更加靈活清晰地選擇目標,並提高受感染裝置與預想目標的匹配度,從而彌補過去幾年大規模勒索軟體和攻擊銀行有關的“spray-and-pray”活動中的不足。”Proofpoint的威脅情報負責人Chris Dawson告訴媒體。

Proofpoint追蹤到這款惡意軟體的源頭是他們從2017年初就開始跟蹤的威脅組織(Proofpoint內部將其命名為TA554)。TA554在最近的活動中用sLoad專門搭載Ramnit銀行木馬,他們通常使用各種銀行木馬瞄準攻擊加拿大、英國、義大利的組織。TA554會使用目標國家的語言製作的電子郵件進行攻擊,郵件內容(比如郵件主題、主體)會針對目標“個性化定製”。這些電子郵件包含連結到壓縮LNK檔案或壓縮文件的URL。他們經常利用包裹投遞或訂單通知受害者。

LNK檔案或文件巨集依次下載下一個階段——如典型的PowerShell指令碼,它可以下載最終的有效負載或sload這樣的下載器。”有趣的是,攻擊者在感染鏈的所有環節中使用地理圍欄,(即根據通過IP地址確定使用者的位置,相應限制對內容的訪問),包括下載dropper、PowerShell,sLoad與它指揮和控制(C2)伺服器,以及它接收任務或命令的環節。

Proofpoint表示,從5月份開始,出現多個不同的sLoad版本,引入了增量式的變化。例如10月22日,這位演員在zipped-LNK下載步驟中添加了一個面向受害者的著陸程式,這樣最初的. lnk檔案就可以直接下載sLoad,而不需要額外的PowerShell作為橋樑。

另外,sLoad會標記受感染的系統,令威脅行為者能夠更好地為他們看中的有效載荷選擇感興趣的目標。在這種情況下,最終的有效負載通常是一個銀行木馬,通過它,參與者不僅可以竊取額外的資料,還可以對受感染的個人進行人工瀏覽器攻擊。不過,與sLoad、Marap一樣,無論在避開供應商沙箱、將勒索軟體交付給一個似乎擁有關鍵任務的系統上,還是將銀行木馬交付給最有可能獲得回報的系統方面,下載器也為威脅行為者提供了高度的靈活性。