目前,网络安全犯罪分子已经不同于此前的简单勒索,他们有更多的理由和更新的手段去针对某一个地区或行业,然后实施网络攻击,索取钱财或者仅仅是为了破坏网络设施。
网络安全研究人员揭开了一场针对西班牙语国家(特别是委内瑞拉)企业网络的新的、正在进行的间谍活动,以监视其受害者。
由于使用了Bandook 恶意软件的升级变种,网络安全人员将其称为“ Bandidos ”,攻击者的主要目标是南美国家的企业网络,横跨制造、建筑、医疗保健、软件服务和零售部门。
关于Bandook
Bandook是用Delphi和 C++编写,从2005年起,它就一直作为商业远程访问木马(RAT)出售。自那以后,威胁领域出现了许多变种,并在2015 年和 2017 年用于不同的监视活动。据称是一个名为Dark Caracal的网络雇佣军组织代表哈萨克斯坦和黎巴嫩的政府利益。
不难发现,恶意软件早已成为国家之间互相攻击的“武器”,通过实施网络破坏造成重大影响的国家之间“战争”不在少数。
此前伊朗已多次遭网络攻击,涉及政府部门及关键基础设施等重点领域。
2021年7月,伊朗国家铁路遭遇网络攻击,攻击者在国内各地车站的显示屏上,发布关于车次延误或取消的虚假信息;
2020年10月,伊朗网络安全当局透露,有两个政府部门受到网络攻击影响;
2019年12月,伊朗电信部长在一周之内两次宣布挫败了针对国内基础设施的网络攻击。
随着互联网发展,网络空间已成为海陆空天疆域之外同时并存的“第五作战疆域”。尤其近来网络攻击多针对关键基础设施等严重影响社会运转和发展的领域,各个国家都不同程度地开始重视网络安全的重要性。
Bandook变种持续增加
在 Bandook 木马的持续复兴中,有网络安全公司在去年披露了三个新样本——其中一个支持120个命令——被同一个对手用来攻击政府、金融、能源、食品工业、医疗保健、教育、IT 和位于智利、塞浦路斯、德国、印度尼西亚、意大利、新加坡、瑞士、土耳其和美国的法律机构。
最新的攻击链始于潜在受害者收到带有PDF附件的恶意电子邮件,其中包含一个缩短的 URL,用于下载托管在Google Cloud、SpiderOak或pCloud上的压缩档案以及提取它的密码。提取档案后会发现一个恶意软件植入程序,它可以解码Bandook并将其注入 Internet Explorer进程。
有趣的是,此次网络安全人员分析的Bandook最新变种包含132个命令,高于之前的120个命令,这意味着恶意软件背后的犯罪集团正在以改进的能力和惊人的力量推进其恶意工具。
研究人员称,ChromeInject功能十分有趣,当与攻击者的命令和控制服务器建立通信时,有效载荷下载一个DLL文件,该文件有一个导出的方法,创建一个恶意的Chrome扩展。恶意扩展试图检索受害者提交给URL的任何凭据。这些凭据存储在Chrome的本地存储中。
有效载荷能够处理的一些主要命令包括列出目录内容、操作文件、截屏、控制受害者机器上的光标、安装恶意DLL、终止正在运行的进程、从特定URL下载文件、将操作结果泄露到远程服务器,甚至将其从受感染的计算机上卸载。
重要的发现是,这一发展迹象表明,过时的恶意软件攻击方案仍可以被攻击者拿来促进网络攻击。此次研究表明,Bandook仍然是网络犯罪分子的作案攻击,随着对其进行更改,网络犯罪分子使恶意软件更加复杂并且更难以检测。
互联网飞速发展的同时也给网络犯罪分子以利用空间,他们不断升级恶意软件的攻击手段,逐渐形成有针对性的恶意攻击。目前,国际上不同国家已针对网络安全问题出台相关法律法规。加强网络安全一方面需要提高安全意识,从日常生活中警惕犯罪分子的攻击,另一方面加强软件安全防御和软件自身抵御攻击的能力。随着越来越多企业开始进行DevsecOps,保障软件安全已逐渐左移至代码安全检测开始强化软件自身“抵抗力”。
参读链接:
https://www.woocoom.com/b021.html?id=f86ef4f39d3d439fa1e843abd5564375
https://thehackernews.com/2021/07/experts-uncover-malware-attacks.html
来源:freebuf.com 2021-07-13 10:28:26 by: 中科天齐软件安全中心
请登录后发表评论
注册