中国“网络蠕虫”黑客组织正在尝试在新攻击中定制旧恶意软件,可能会逃避归属并降低运营成本。
Webworm 是一个至少从 2017 年开始活跃的网络间谍集群,之前与俄罗斯、格鲁吉亚和蒙古的 IT 公司、航空航天和电力供应商的攻击有关。
根据 Broadcom Software 旗下赛门铁克的一份报告,威胁行为者目前正在针对亚洲的 IT 服务提供商测试各种经过修改的远程访问木马 (RAT),可能会确定它们的有效性。
旧恶意软件执行新任务
今天 Webworm 使用的 RAT 早已被人遗忘,其来源已流传多年。然而,安全工具仍然不容易检测到它们,它们的回避、混淆和反分析技巧仍然很重要。
此外,使用广泛流通并由各种随机黑客部署的旧 RAT 有助于 Webworm 伪装其操作并与其他人的活动相结合,从而使安全分析师的工作变得更加困难。
在新的 Webworm 操作中使用的第一个旧恶意软件是 Trochilus RAT,它于 2015 年首次出现在野外,现在可以通过 GitHub 免费获得。
添加到 Trochilus 的一个修改是它现在可以通过签入一组硬编码目录来从文件加载其配置。
第二个经过测试的毒株是 9002 RAT,它是过去十年在国家资助的行为者中流行的恶意软件,他们赞赏它能够注入内存并秘密运行。
Webworm 在 9002 RAT 的通信协议上添加了更强大的加密,以帮助规避针对现代流量分析工具的检测。
观察到的攻击中使用的第三个系列是 Gh0st RAT,首次发现于 2008 年,多个 APT 在过去的全球网络间谍活动中反复使用。
Gh0st RAT 具有多层混淆、UAC 绕过、shellcode 解包和内存启动,其中许多都保留在 Webworm 的版本中。
2022 年 5 月的一份 Positive Technologies 报告将修改后的恶意软件命名为“ Deed RAT ”,并将其归因于一个他们称之为“Space Pirates”的中国组织,赛门铁克称它很可能与 Webworm 属于同一组织。
Deed RAT 的新功能之一,本质上是 Gh0st RAT 的修改版本,是一个多功能的 C2 通信系统,支持多种协议,包括 TCP、TLS、HTTP、HTTPS、UDP 和 DNS。
即使 Space Pirates 和 Webworm 是不同的团体,众所周知,中国演员会共享恶意软件以掩盖其踪迹并降低开发成本。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 网络蠕虫黑客在新攻击中修改旧恶意软件以逃避归属
