攻击者同时利用多个恶意软件,很可能因为部分的环节被人发现异状,而导致整个行动事迹败露,但在思科近期发现的攻击行动中,黑客组织Magnat自年下旬开始,以提供常见软件的安装程序名义作为诱饵,经由恶意广告传播,且这起行动直到3年后才被发现。
比较特别的是,攻击者在受害计算机其中,植入了3种恶意软件,包含:RDP后门程序MagnatBackdoor、密码窃取工具Redline,以及恶意Chrome插件程序MagnatExtension。MagnatBackdoor与Redline的搭配,可让攻击者持续通过远程桌面连接访问受害计算机,而几乎不受限制;MagnatExtension则是能监听键盘、截取屏幕画面,进而取得敏感信息。
根据Magnat所使用的C2中继站IP地址、DNS来分析,约有半数的攻击锁定加拿大而来,美国、澳洲次之,而意大利、西班牙、挪威等国家,也有出现零星感染的事故。
这个黑客组织大约是从年8月展开攻击行动,一开始,利用MagnatExtension窃取浏览器Chrome的帐密,后来到了年10月,该组织开始运用MagnatBackdoor后门程序,思科指出,自此之后,Magnat的攻击行动都部署3种恶意软件,也就是:MagnatExtension插件程序、MagnatBackdoor后门程序,以及窃密工具Azorult。
到了年2月,黑客的攻击行动开始停止使用Azorult。会出现这样的变化,研究人员认为,很可能是当时Chrome推出的第80版其中,采用了新的防护机制,而影响恶意软件Azorult执行的效果。
此后Magnat持续找寻替代Azorult的恶意软件,并于同年10月起,改用窃密工具Redline,于是这套恶意软件工具,变成:MagnatExtension、MagnatBackdoor,以及Redline。
究竟这些黑客如何传播作案工具?思科表示,虽然他们并未实际看到恶意广告,但根据目前收集的证据来进行推测,这确实是Magnat传播恶意软件的重要渠道。
分析受感染的计算机后,研究人员发现,有问题的安装程序,其实是通过Chrome下载取得,仅连接Cloudflare和Google的IP地址,且下载程序之前,用户恰巧浏览软件评测网站,但并未执行收信软件。
这些看似相当理所当然的文件下载操作流程,究竟和恶意广告有何关联?
思科指出,他们发现Redline用于恶意广告的僵尸网络ID,其他安全人员于年8月也发现相关的蛛丝马迹,例如,曾有人购买Google的线上广告,却借由搜索引擎排行引诱用户下载冒牌的WeChat安装程序,最终目的就是传播Redline,而经过思科分析后,研判该名研究人员所发现的状况,就是Magnat攻击行动。
联系电话: