俄罗斯威胁行为者发起的一项活动使用虚假工作机会瞄准在加密货币行业工作的东欧人,目的是用名为“Enigma”的 Stealerium 恶意软件的修改版本感染他们。
根据一直在跟踪恶意活动的 Trend Micro 的说法,威胁行为者使用一组高度混淆的加载程序,这些加载程序利用旧的 Intel 驱动程序缺陷来降低 Microsoft Defender 的令牌完整性并绕过保护。
针对受害者
攻击始于一封伪装成工作机会的电子邮件,其中包含虚假的加密货币面试,以引诱他们的目标。 电子邮件有一个 RAR 存档附件,其中包含一个 TXT(“interview questions.txt”)和一个可执行文件(“interview conditions.word.exe”)。
文本文件包含用西里尔字母编写的面试问题,这些问题遵循标准格式并且看起来合法。
如果受害者被诱骗启动可执行文件,则会执行一系列有效载荷,最终从 Telegram 下载 Enigma 信息窃取恶意软件。
第一阶段下载器是一个 C++ 工具,它使用 API 散列、字符串加密和无关代码等技术在下载和启动第二阶段有效负载“UpdateTask.dll”时逃避检测。
同样用 C++ 编写的第二阶段有效负载使用“自带漏洞驱动程序”(BYOVD) 技术来利用 CVE-2015-2291 Intel 漏洞。 此 Intel 驱动程序缺陷允许以内核权限执行命令。
威胁行为者滥用此漏洞,在恶意软件下载第三个有效负载之前禁用 Microsoft Defender。
第三阶段从私人 Telegram 频道下载最终有效负载 Enigma Stealer,Trend Micro 称其是 Stealerium 的修改版本,Stealerium 是一种开源信息窃取恶意软件。
Enigma 以存储在 Google Chrome、Microsoft Edge、Opera 等网络浏览器中的系统信息、令牌和密码为目标。 此外,它还针对存储在 Microsoft Outlook、Telegram、Signal、OpenVPN 和其他应用程序中的数据。
Enigma 还可以从受感染的系统中捕获屏幕截图并提取剪贴板内容或 VPN 配置。
最后,所有被盗数据都被压缩在一个 ZIP 存档(“Data.zip”)中,并通过 Telegram 发送回威胁参与者。
Enigma 的一些字符串,例如网络浏览器路径和地理定位 API 服务 URL,在密码块链 (CBC) 模式下使用 AES 算法加密,可能会隐藏数据并防止未经授权的访问或篡改。
署名
趋势科技尚未十分自信地确定归因,但发现了几个可能表明俄罗斯威胁行为者是攻击幕后黑手的因素。
第一个线索是,该活动中用于跟踪活动感染执行流程的其中一个日志记录服务器托管了一个 Amadey C2 面板,该面板在俄罗斯网络犯罪论坛中非常流行。
其次,服务器运行“Deniska”,这是一个仅在俄语论坛中引用的专用 Linux 系统。
最后,服务器的默认时区设置为莫斯科,这是威胁行为者是俄罗斯人的另一个指标。
更常见的是,朝鲜威胁行为者开展活动,宣传针对金融科技行业工作人员的虚假工作机会。 因此,看到俄罗斯人采用这个主题是一个有趣的发展。
如若转载,请注明出处:https://www.ozabc.com/it/534706.html