標籤: IOCs

Vultur，一種Android銀行木馬，已觀察到整合了新的技術特點，使得惡意軟體操作者能夠遠端與受害者的行動裝置通訊。此外，Vultur開始通過加密其C2通信、使用多個動態解密的載荷以及在合法程序的假象下執行其惡意活動，以掩蓋其惡意行為。Vultur具有按鍵記錄和與受害者裝置的屏幕互動等功能，主要針對銀行應用程序進行遠端控制和按鍵記錄。

Vultur於 2021 年 3 月下旬首次被發現，它透過 AlphaVNC 的 VNC（虛擬網路運算）獲得了受害者設備的全面可見性。2021 年 7 月，ThreatFabric 研究人員發現了 Android 版本的 Vultur，它使用螢幕錄製和鍵盤記錄來捕獲登入憑證。過去，Vultur利用ngrok和AlphaVNC兩款聲譽良好的軟體應用程式來遠端存取運行在受害者設備上的VNC伺服器。根據Fox-IT 的一份報告顯示，威脅行為者利用簡訊入侵和電話引誘目標下載帶有 Brunhilda 惡意軟體植入程式的 McAfee 安全應用程式的武器化版本。然後，安裝應用程式將執行與 Vultur 相關的有效負載，從而啟用輔助功能服務和命令與控制伺服器連線。

在最近的一次活動中，Brunhilda下載器通過短信和電話呼叫進行混合攻擊的傳播， 第一條短訊指引受害者進行電話呼叫。當受害者撥打號碼時，詐騙者會向受害者發送一條第二條短訊，其中包含下載器的鏈接：McAfee Security應用程式的修改版本。

Vultur的新技術特點

• 下載、上傳、刪除、安裝、尋找檔案；
• 使用 Android 輔助功能服務控制受感染的裝置（發送命令以執行捲動手勢、滑動手勢、點擊、靜音/取消靜音音訊等）；
• 阻止應用程式運行；
• 在狀態列中顯示自訂通知；
• 停用鍵盤防護以繞過鎖定螢幕安全措施。

Vultur 透過以下方式增強了逃避偵測和反分析的方法：

• 修改合法應用程式（使用 McAfee Security 和 Android Accessibility Suite 軟體包名稱）；
• 使用本機程式碼來解密有效負載；
• 在多個有效負載上傳播惡意程式碼；
• 使用 AES 加密和 Base64 編碼進行 C2 通訊。

值得一提的是，該惡意軟體可能會使用 Android 的輔助服務來遠端連接受感染的裝置。操作Vultur的攻擊者可以傳輸命令，執行諸如滑動、點擊和捲動等操作。研究人員表示，檔案總管功能包括下載、上傳、刪除、安裝和尋找檔案的功能，這實際上使攻擊者能夠更好地控制受感染的設備。

阻止受害者與裝置的應用程式互動是另一個有趣的新功能。此功能允許惡意軟​​體操作者指定一個應用程式列表，一旦偵測到在裝置上運行，就應重新啟動這些應用程式攻擊鏈。

攻擊鏈

威脅行為者使用由兩條簡訊和一個電話組成的混合攻擊，誘騙無辜者安裝惡意軟體。

最初，受害者會收到一條短訊，告訴他們撥打一個號碼，以防他們不批准大筆交易。儘管這筆交易從未發生，但它給受害者留下了必須立即執行的印象，從而使其上當行騙。在通話過程中，系統會向受害者發送第二條短訊，指示他們點擊連結以安裝木馬版本的 McAfee Security 應用程式。

該程序本質上是Brunhilda下載器，對受害者來說看似無害，因為它具有McAfee Security應用程式中的功能。

此植入程式解密並執行三個與 Vultur 相關的有效負載，使威脅行為者能夠完全控制受害者的行動裝置。在最近提交的Vultur樣本的專家注意到，新功能不斷的增加，這表明該惡意軟體仍在積極開發中，根據這些觀察結果，預計在不久的將來 Vultur 會添加更多功能。

Vultur的部分入侵指標(Indicator of compromise -IOCs):

在3月第一周的活動，該惡意軟體在不到72 小時內針對6,000多個華碩路由器進行了攻擊

根據黑蓮花實驗室(Black Lotus Labs)發布的報告，已經發現一個名為「TheMoon」的新變體惡意軟體僵屍網絡正在全球 88 個國家感染數千台過時的小型辦公室和家庭辦公室（SOHO）路由器和物聯網（IoT）設備。TheMoon 與「Faceless」代理服務相關聯，該服務使用一些受感染的設備作為代理，將流量路由給希望匿名化其惡意活動的網路犯罪分子。

黑蓮實驗室的研究人員正在監控最新的 TheMoon 活動，該活動始於 2024 年 3 月初，他們觀察到在不到 72 小時內有 6,000 台華碩路由器成為攻擊目標。威脅分析人員報告稱，惡意軟體操作，如 IcedID 和 SolarMarker 目前使用代理僵屍網路來混淆其線上活動。

針對華碩路由器

針對華碩路由器 TheMoon 首次於 2014 年被發現，當時研究人員警告稱，該惡意軟體正在利用漏洞感染 LinkSys 設備。該惡意軟體的最新活動已在一周內感染了將近 7,000 台設備，黑蓮實驗室表示，他們主要針對華碩路由器。

「通過 Lumen 的全球網路可見性，黑蓮實驗室已識別出 Faceless 代理服務的邏輯地圖，其中一個始於 2024 年 3 月的活動在不到 72 小時內針對了超過 6,000 台華碩路由器。」黑蓮實驗室的研究人員警告道。然而研究人員並未具體說明入侵華碩路由器所使用的確切方法，但鑒於所針對的設備型號已達到生命周期終點，攻擊者可能利用韌體中已知的漏洞。攻擊者還可能通過暴力破解管理員密碼或測試的預設和弱憑證。

一旦惡意軟體獲得設備存取權限，它會檢查特定 shell 環境的存在（「/bin/bash」、「/bin/ash」或「/bin/sh」）；否則，它將停止執行。

如果偵測到相容的 shell，載入程式會解密、刪除並執行名為「.nttpd」的有效負載，該負載會建立一個具有版本號（目前為 26）的 PI​​D 檔案。

接下來，惡意軟體設定 iptables 規則以丟棄連端口 8080 和 80 上傳入 TCP的流量，同時允許來自特定 IP 範圍的流量。這種策略可以保護受感染的設備免受外部干擾。

接下來，惡意軟體會嘗試聯絡合法 NTP 伺服器列表，以偵測沙箱環境並驗證網路連線。

最後，惡意軟體透過循環存取一組硬編碼的 IP 位址來與命令和控制 (C2) 伺服器連接，C2 會以指令進行回應。

在某些情況下，C2 可能會指示惡意軟體擷取其他元件，例如掃描連port 80 和 8080 上易受攻擊的 Web 伺服器的蠕蟲模組或代理受感染裝置上流量的「.sox」檔案。該檔案用於代理受感染設備上的流量。

Faceless 代理服務

Faceless 是網路犯罪代理服務，可透過受感染的裝置為僅使用加密貨幣付款的客戶路由網路流量。本服務不使用「了解您的客戶」驗證流程，任何人都可以使用。

為了保護他們的基礎設施不被研究人員繪製地圖，Faceless 操作員確保每台受感染的設備在感染持續期間僅與一台伺服器通訊。

Black Lotus Labs 報告稱，三分之一的感染會持續 50 天以上，而 15% 的感染會在 48 小時內消失。這表明後者受到更好的監控，並且可以快速檢測到危害。

儘管 TheMoon 和 Faceless 之間存在明顯的聯繫，但這兩個操作似乎是獨立的網路犯罪生態系統，因為並非所有惡意軟體感染都成為 Faceless 代理殭屍網路的一部分。

為了防禦這些殭屍網路，請使用強管管理員密碼並將裝置的韌體升級到解決已知缺陷的最新版本。如果設備已達到 EoL，請將其替換為有效支援的型號。路由器和物聯網上惡意軟體感染的常見跡象包括連線問題、過熱和可疑的設定變更。

有關於TheMoon 惡意軟體的的部分入侵指標(Indicator of compromise -IOCs):

abee3860601d8a8f10fa2d0ef9e058c8c9b0b977a87e8c95fb66d3f630281c23  
d4fa6a239895a94f83740db0319601a14896a2b06fff912364f214b0832ee230  
84b45dad03eeb5be10b8313b25de1426b108064b12e2848eaa94cddd58bca297
701531793ecd583e05cdbd853bec8c0ece4c106fc9a6658af2d1b2f6becb70ad  
7724caac245c1e5af1662fc3a1261e02fe097a7a98c129986e6dad41606d0df1
f9ac395dbab71d37b0a22cbacba2613540b51a4be501632320e523531716a057  
9e10aadba51daa66b72ea442a97b31b12b4f718866328109d21d1c03b0e76780  
ab3d693470e7cf8ff2a21338c0a20302465ca7e18c33fc8fe488b0abb8f201f0

欲了解更多，請參考: https://blog.lumen.com/the-darkside-of-themoon/

該部門因勒索軟體攻擊導致資料外洩及平台中斷

1 月 30 日，根據BleepingComputer報道，能源管理和工業自動化巨頭施耐德電氣遭受了 Cactus 勒索軟體攻擊，導致公司資料被盜。據報道攻擊發生於1 月 17日施耐德的永續發展部門，攻擊擾亂了其部分資源顧問雲端平台，該平台至今仍處於中斷的狀態。據報道，勒索軟體在網路攻擊期間竊取了數TB 的公司數據，並正在威脅該公司，如果不支付贖金，就會洩露被盜的數據。雖然尚不清楚被盜的資料類型，但永續發展業務部門為企業組織提供諮詢服務，就再生能源解決方案提供建議，並幫助他們滿足全球公司複雜的氣候監管要求。

該公司在本週的聲明中證實了這一事件，該攻擊影響了其資源諮詢產品（永續發展資訊的數據視覺化工具）以及「部門特定系統」。然而，施耐德表示，公司其他部門並未受到網路攻擊的影響並正在努力恢復受影響的系統，也在網路安全公司的幫助下調查該事件。但一些證據表明駭客已經存取了數據，包括客戶資訊。

報道稱仙人掌勒索軟體組織是此次攻擊的幕後黑手。然而，該組織尚未將施耐德電機列入其基於 Tor 的洩密網站。仙人掌勒索軟體至少自 2023 年 3 月起就一直活躍，截至撰寫本文時，該組織的洩密網站顯示有 86 名的受害者。

Kroll 研究人員報告稱，該勒索軟體因使用加密來保護勒索軟體二進位檔案而突出。

仙人掌勒索軟體使用 SoftPerfect 網路掃描程式 (netscan) 來尋找網路上的其他目標，並使用 PowerShell 指令來列舉端點。該勒索軟體透過在 Windows 事件檢視器中查看成功登入來識別使用者帳號，它還使用 開源 PSnmap 工具的修改變種。

仙人掌勒索軟體依賴多種合法工具（例如Splashtop、AnyDesk、SuperOps RMM）來實現遠端訪問，並在  後利用活動中使用Cobalt Strike和代理工具Chisel。一旦惡意軟體升級了電腦上的權限，駭客就會使用批次腳本來卸載電腦上安裝的防毒解決方案。

另外，仙人掌使用 Rclone 工具進行資料洩露，並使用名為 TotalExec 的 PowerShell 腳本（BlackBasta勒索軟體過去曾使用過該腳本） 來自動部署加密過程。一月初，仙人掌勒索軟體組織聲稱入侵了瑞典最大連鎖超市Coop。

仙人掌勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

MD5

d9f15227fefb98ba69d98542fbe7e568

3adc612b769a2b1d08b50b1fb5783bcf

be7b13aee7b510b052d023dd936dc32f

26f3a62d205004fbc9c76330c1c71536

d5e5980feb1906d85fbd2a5f2165baf7

78aea93137be5f10e9281dd578a3ba73

Key Points:

*研究人員已識別未被記錄過的惡意驅動程式RedDriver的多個版本，這是一種基於驅動程式的瀏覽器劫持程式，至少從 2021 年起就一直活躍，並使用 Windows 過濾平台 (WFP) 來攔截瀏覽器流量。

*RedDriver 利用 HookSignTool 偽造其簽章時間戳以繞過 Windows 驅動程式簽章策略。

*RedDriver感染鏈的開發中使用了多個開源工具的程式碼，包括 HP-Socket 和 ReflectiveLoader

根據資安人員的研究，駭客正利用一種名為RedDriver的工具來針對微軟的中文用戶，該工具允許他們攔截網路瀏覽器流量。思科Talos團隊的表示，他們已經發現了RedDriver的多個版本，他們認為這些版本至少從 2021 年起就已經在使用。研究人員表示，RedDriver的作者似乎擅長驅動程式開發，並且對 Windows 操作系統有深入的了解，驅動程式幫助操作系統與印表機和顯示器等硬體進行通信。研究人員進一步說，從RedDriver只搜索中文瀏覽器進行劫持，可推定這種威脅針對以中文為母語的用戶，此外，RedDriver作者本人很大可能是會說中文的。然而，思科 Talos 並未將 RedDriver 歸咎於特定的駭客組織。

根據研究人員的說法，攻擊始於一個名為DNFClient的惡意檔案-這是一個中國流行的線上遊戲《地下城與勇士》的參考檔案。檔案執行後，就會啟動 RedDriver 的下載，思科將其稱為多階段感染鏈的關鍵組件，最終劫持瀏覽器流量並將其重定向到本地主機。RedDriver 本質上是通過利用被盜憑證偽造簽章時間戳，有效繞過 Windows 內的驅動程序強制策略簽章，使操作系統信任它。據 Talos 稱，這樣的中斷使駭客能夠使用 Windows 過濾平台 (WFP) 攔截瀏覽器流量，該公司表示，它認為目標受害者是中文用戶，因為該惡意軟體包含及谷歌瀏覽器和微軟Edge中文瀏覽器名稱的目標清單。根據Recorded Future News，微軟發言人承認該公司最近被告知經微軟 Windows 硬體開發者計劃 (MWHDP) 認證的驅動程式在後期處理中被惡意使用。

微軟確認該活動，但稱“僅限於濫用多個開發者計劃帳戶，並且尚未發現任何微軟帳戶被盜的情況。我們已暫停合作夥伴的賣家賬戶，並對所有報告的惡意驅動程式實施阻止檢測，以幫助保護客戶免受這種威脅。”微軟進一步指出，在趨勢科技和思科 Talos 提供更多報告之前，安全公司 Sophos 的研究人員於 2 月份首次向該公司發出了有關這一情況的警報。微軟還發布了 Windows 安全更新，可以過濾有問題的驅動程式，保護客戶免受惡意使用的合法簽章驅動程式的影響。

思科Talos研究人員表示，他們仍不清楚瀏覽器流量重定向的最終目標，但無論如何，這對任何感染 RedDriver 的系統都是一個重大威脅。在他們的研究中，他們注意到RedDriver的早期版本與網吧使用的軟體打包在一起，因為許多名稱屬於網吧管理軟體、顯卡驅動程式和瀏覽器。Talos表示，中國的網吧成為網路犯罪團體的目標並不罕見，該公司指出，2018 年，中國各地網吧的 10 萬多台電腦曾感染了加密貨幣挖礦惡意軟體，為駭客帶來了超過 80 萬美元的收益。他們補充說，RedDriver 的感染鏈還使用從中文論壇上的貼文複製得來的程式，在調查期間發現的所有域名都解析為中國的 IP位址。

研究人員對 RedDriver作者的技巧感到驚嘆，他們表示WFP是一個實施起來很複雜的平台，通常需要豐富的驅動程式開發經驗才能完全理解它，認為RedDriver的作者還展示了對軟體開發生命週期的熟悉或經驗，並指出開發不會當機的惡意驅動程式是多麼困難。

RedDriver的部分入侵指標(Indicator of compromise -IOCs):

0201c2999e723d9bbb8b4df8c41030dd25a12ea39671dce2fe4b084b77c4a0d4

fb29ef2e46335719421b747b23096bc6f98df3dc6cd1c0ff9b9174a3827562d5

f8a1828bc25c8d311e05314ff1da37f9901147a48fbd715e8d1b96c724d71fa0

522b00f45a033c3f7d27a7c0db7dd51dff239fdac56c7a8acf7ff9c542b1e797

ba961c5896b46447cb555dc93f64a78d99da0b2a0a531979545fe7f40279c9c3

24c900024d213549502301c366d18c318887630f04c96bf0a3d6ba74e0df164f

5a13091832ef2fd837c33acb44b97c37d4f1f412f31f093faf0ce83dcd7c314e

9e59eba805c361820d39273337de070efaf2bf804c6ea88bbafc5f63ce3028b1

c96320c7b57adf6f73ceaf2ae68f1661c2bfab9d96ffd820e3cfc191fcdf0a9b

87565ff08a93a8ff41ea932bf55dec8e0c7e79aba036507ea45df9d81cb36105

該頂級後門程式是由國安局旗下菁英駭客組織方程式(Equation Group)所打造的

本週三(23日)，來自中國盤古實驗室(Pangu Lab)的一組研究員發表了一份長達 56頁的報告，披露了一種頂級後門程式技術細節和攻擊組織關聯的詳細介紹，該後門被追踪為 Bvp47，用於入侵後監視並控制受害組織網路，據稱是由隸屬於美國國家安全局(National Security Agency-NSA)的一流駭客組織Equation Group所打造的。揭露此後門的中國盤古實驗室以iPhone 越獄技術(JailBreak)而聞名，去年曾以一項iOS漏洞在中國大型駭客大賽天府杯上贏得了30 萬美元。

該後門是在2013年研究員在中國某重點部門的主機進行深入取證調查期間從Linux系統中提取的，經研究發現這個後門程式需要與主機綁定的驗證碼才能正常運行，隨後研究人員又破解了驗證碼，並成功運行了這個後門程式，從部分行為功能上斷定這是一個頂級的後門程式，但是進一步調查需要攻擊者的非對稱加密私鑰才能啟動遠控功能，至此研究人員的調查受阻，並以基於樣本中最常見的字串“ Bvp ”和加密演算法中使用的數值“0x47”，稱該後門為Bvp47。

駭客組織The Shadow Brokers於2016 年和 2017 年先後洩露了一系列據稱從 Equation Group 竊取來的駭客工具和數據。2016 年 10 月末，在駭客洩露的檔案中，發現包含被 NSA旗下組織 Equation Group入侵的伺服器清單，盤古實驗室的研究員也在 The Shadow Brokers 洩露的數據中發現了可啟動Bvp47頂級後門的非對稱加密私鑰的檔案。根據洩露的數據，Equation Group 在 10 年來，在俄羅斯、日本、西班牙、德國、意大利等 45 個國家成功入侵了超過 287 個目標。該組織針對的目標，包括政府、電信、航空航天、能源、金融機構、核研究、石油和天然氣、軍事、運輸和開發加密技術的公司等。

盤古實驗室已將涉及利用Bvp47後門攻擊的活動稱為電幕行動(Operation Telescreen)，並稱該後門包含 rootkit、繞過安全功能、反鑑識、自毀設計和其他功能等，旨在允許Equation Group實現對受感染設備的長期控制，窺視被入侵機構的內部網路系統。根據技術分析，後門可以攻擊包括Linux系統、AIX、Solaris、SUN等在內所有作業系統，研究員認為該後門設計精良、架構靈活、功能強大且適用廣泛，能在隱蔽的控制下毫不費力地收集數據，若搭配上零時差漏洞更能使它的網路攻擊力勢不可擋，可讓Equation Group在各國的網路對抗中處於絕對的主導地位。

該實驗室的報告，除了對Bvp47 的技術描述外，還包括強調惡意後門、Equation Group和 美國NSA 之間的關聯，欲了解更多，您可以按此下載

有關Bvp47的部分入侵指標(Indicator of compromise -IOCs):

MD5:

58b6696496450f254b1423ea018716dc

SHA 256:

7989032a5a2baece889100c4cfeca81f1da1241ab47365dad89107e417ce7bac

SHA 1:

ad0197db424b35314a479552875e18893a4ba95a

hostname:

vsn1radius1.vsn1.net.in

ultra10.nanya.edu.tw

win.hallym.ac.kr

www.nursat.kz

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”