黑客組織濫用Telegram進行攻擊
2022年03月25日
幾年前首次出現的一個憑證竊取組織現在正在濫用Telegram作為C2服務器進行網絡攻擊��。研究人員報告說�,一系列的網絡犯罪分子會繼續(xù)通過使用這樣更有創(chuàng)造性的攻擊手段來擴大其攻擊面����。
根據Avast威脅實驗室在本周發(fā)表的一篇博文��,2019年4月份首次出現在網絡中的Raccoon Stealer已經開始在Telegram的基礎設施上存儲和更新自己的C2地址���。研究人員說��,這讓他們在平臺上有了一個更加方便和可靠的指揮中心,可以隨時更新C2的信息。
該惡意軟件據說是由與俄羅斯有關的網絡犯罪分子開發(fā)和維護的。其核心工具是一個憑證竊取器,但是該工具能夠進行一系列的攻擊活動。它不僅可以竊取密碼����,還可以竊取cookie���、瀏覽器中保存的登錄信息和表單的數據、電子郵件客戶端以及登錄憑證、加密錢包中的文件、瀏覽器插件和擴展程序中的數據以及任意文件。這些都可以通過其C2命令完成。
Avast威脅實驗室研究員Vladimir Martyanov在其帖子中寫道���,它能夠通過來自其C2的命令下載和執(zhí)行任意文件��。這也就使得Raccoon Stealer變得更加危險�����。
在2019年發(fā)布后����,網絡犯罪分子迅速開始采用該惡意軟件進行攻擊����,由于其用戶友好的惡意軟件即服務(MaaS)模式�,給了他們一個更加快速和簡單的方式--通過竊取敏感數據來賺錢。
創(chuàng)造性的傳播方式
早期�,攻擊者通過黑客控制的Dropbox賬戶上托管的IMG文件���,在針對金融機構和其他組織的商業(yè)電子郵件破壞(BEC)活動中提供Raccoon Stealer進行攻擊�。
Martyanov說�����,最近���,Avast威脅實驗室的研究人員觀察到了攻擊者傳播Raccoon Stealer的一些更具有創(chuàng)造性的方式����。并且他們的傳播技術繁雜多樣�,只有你想不到的��。
除了通過使用兩個加載器Buer Loader和Gcleaner進行傳播外�����,攻擊者還可以通過偽造游戲作弊器�、破解軟件的補丁��,這其中還包括了Fortnite���、Valorant和NBA2K22的MOD,或者是其他軟件來傳播Raccoon Stealer�。
他補充說,網絡犯罪分子還注意通過使用Themida或惡意軟件打包器來試圖逃避檢測�����,據觀察�����,一些攻擊樣本連續(xù)使用同一個打包器打包次數超過了五次�����。
在Telegram上濫用C2
該報告詳細介紹了最新版本的Raccoon Stealer是如何與Telegram內的C2進行通信的��。根據該帖子����,其C2通信有四個特征值,它們在每個Raccoon Stealer樣本中都有硬編碼。它們分別是:
MAIN_KEY�����,該數值在這一年中已經發(fā)生了四次改變���。
Telegram gate的URL����,其包含一個通道名稱�。
BotID,一個十六進制的字符串�,每次都會被發(fā)送到C2。
TELEGRAM_KEY����,一個用于解密從Telegram獲得的C2地址的密鑰�����。
為了劫持Telegram的C2���,惡意軟件首先需要解密出MAIN_KEY值��,它可以用來解密Telegram gate的URL和BotID����。Martyanov寫道,攻擊者然后會使用Telegram gate�����,通過一連串的操作,最終允許它使用Telegram基礎設施來存儲和更新實際的C2地址����。
通過執(zhí)行C2的命令來下載和執(zhí)行任意文件����,攻擊者還能夠分發(fā)惡意軟件。Avast威脅實驗室收集了大約185個文件���,總共大小為265兆字節(jié)�,其中包括下載器����、剪貼板加密竊取器和WhiteBlackCrypt勒索軟件,這些都是由Raccoon Stealer分發(fā)的�����。
避免針對俄羅斯的實體進行攻擊
該惡意軟件一旦開始執(zhí)行,Racoon Stealer就會開始檢查被感染設備上設置的默認用戶語言�����,如果是以下語言之一��,就不會執(zhí)行任何操作��。
俄羅斯���、烏克蘭��、白俄羅斯��、哈薩克���、吉爾吉斯、亞美尼亞���、塔吉克或烏茲別克。
因此研究人員認為����,這可能是因為開發(fā)者本身就是俄羅斯人�。
然而�,Avast威脅實驗室還發(fā)現,在最近我們所成功阻止的攻擊中����,攻擊數量最多的國家是針對俄羅斯的。這很有趣��,因為惡意軟件背后的攻擊者不想感染俄羅斯或中亞地區(qū)的計算機����。
他還指出,這可能是因為攻擊是通過噴灑式的方式進行傳播的��,將惡意軟件傳播到了世界各地����。惡意軟件在到達被感染的設備之前不會檢查用戶的位置。如果它發(fā)現設備位于開發(fā)者不想攻擊的地區(qū)�����,它就不會運行�。
Martyanov寫道���,這也就解釋了為什么我們在俄羅斯檢測到了這么多的攻擊企圖,也就是說���,在它進入檢查設備位置的階段之前�����,我們就可以將其進行攔截���。如果一個未受保護的設備在遇到惡意軟件時,其地域設置為英語或任何其他不在列表上的語言�,它仍然會被感染。
