平昌冬奥会注定不“平常”,网络威胁正大行其道。第二阶段的网络攻击植入工具提供了顶级的间谍软件功能, 并且能够在受害者机器上实现持久驻留。

McAfee的高级威胁研究 (ATR) 组最近发布了一份报告, 描述了针对与平昌奥运会有关的组织的无文件驻留(fileless) 攻击。

这类攻击仍然是开始于带有恶意文档的有针对性的鱼叉式网络钓鱼电子邮件, 该邮件被发送到333个受害者机构。

一旦执行, 该文件会执行一个基本的 PowerShell 植入的方式, 建立了一个通道, 攻击者的服务器收集系统级的数据, 并使用图像隐写技术隐藏。

McAfee研究人员表示: "当时没有确定的是, 在攻击者获得受害者系统的控制权后, 发生了什么。

McAfeeATR 现在发现, 在与奥运相关的攻击中, 额外的植入物被用作第二阶段的有效载荷, 用于获得持续的数据删除和有针对性的访问,在代码中找到的特征字符串包括: GoldDragon, Brave Prince, Ghost419, 和 Running Rat等。

McAfee说: "一旦 PowerShell被执行, 某些工具就会在受害者的系统上建立永久性的驻留。"一旦攻击者使用无文件恶意软件获得初步立足点, 植入物将作为第二阶段交付。一些植入物将维持他们的持久性,只有当系统出现朝鲜语, 这显然是针对韩国目标。

GoldDragon(金龙)朝鲜语恶意工具在圣诞前夕首次出现。

"Gold Dragon恶意软件似乎具有扩展功能, 用于分析目标系统并将结果发送到控制服务器," McAfee 说。"[它] 充当侦察工具和下载器,用于恶意软件感染和有效负载链的后续有效负载加载。除了从控制服务器下载和执行二进制文件外, GoldDragon还会生成一个密钥来加密植入物从系统中获得的数据。

BravePrince(勇敢王子)收集有关受害者的配置、硬盘内容、注册表、计划任务、运行过程等的详细日志。

Ghost419也是一个恶意系统侦察软件,与Gold Dragon存在部分共享代码;

RunningRat包含了更多功能, 包括:复制剪贴板、删除文件、压缩文件、清除事件日志、关闭计算机等等。

"随着这些植入物的发现, 我们现在对这个网络攻击行动的威胁范围有了更好的了解," 研究人员说。

GoldDragon, Brave Prince, Ghost419, 和 Running Rat 展示了比以前所知网络攻击的更广泛的行为。我们从这些植入物中看到的持续数据撤退可能给攻击者在奥运会期间的带来更有利的潜在优势。

McAfee说, 朝鲜相关组织可能是攻击的幕后角色。

声明:本文来自malwarebenchmark,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。