黑客組織濫用Telegram進(jìn)行攻擊
2022年03月25日
幾年前首次出現(xiàn)的一個憑證竊取組織現(xiàn)在正在濫用Telegram作為C2服務(wù)器進(jìn)行網(wǎng)絡(luò)攻擊�����。研究人員報告說�,一系列的網(wǎng)絡(luò)犯罪分子會繼續(xù)通過使用這樣更有創(chuàng)造性的攻擊手段來擴(kuò)大其攻擊面。
根據(jù)Avast威脅實驗室在本周發(fā)表的一篇博文�����,2019年4月份首次出現(xiàn)在網(wǎng)絡(luò)中的Raccoon Stealer已經(jīng)開始在Telegram的基礎(chǔ)設(shè)施上存儲和更新自己的C2地址���。研究人員說����,這讓他們在平臺上有了一個更加方便和可靠的指揮中心��,可以隨時更新C2的信息��。
該惡意軟件據(jù)說是由與俄羅斯有關(guān)的網(wǎng)絡(luò)犯罪分子開發(fā)和維護(hù)的。其核心工具是一個憑證竊取器�����,但是該工具能夠進(jìn)行一系列的攻擊活動�����。它不僅可以竊取密碼�����,還可以竊取cookie��、瀏覽器中保存的登錄信息和表單的數(shù)據(jù)�、電子郵件客戶端以及登錄憑證�、加密錢包中的文件、瀏覽器插件和擴(kuò)展程序中的數(shù)據(jù)以及任意文件�。這些都可以通過其C2命令完成。
Avast威脅實驗室研究員Vladimir Martyanov在其帖子中寫道��,它能夠通過來自其C2的命令下載和執(zhí)行任意文件����。這也就使得Raccoon Stealer變得更加危險。
在2019年發(fā)布后,網(wǎng)絡(luò)犯罪分子迅速開始采用該惡意軟件進(jìn)行攻擊��,由于其用戶友好的惡意軟件即服務(wù)(MaaS)模式�����,給了他們一個更加快速和簡單的方式--通過竊取敏感數(shù)據(jù)來賺錢��。
創(chuàng)造性的傳播方式
早期����,攻擊者通過黑客控制的Dropbox賬戶上托管的IMG文件,在針對金融機(jī)構(gòu)和其他組織的商業(yè)電子郵件破壞(BEC)活動中提供Raccoon Stealer進(jìn)行攻擊�。
Martyanov說,最近��,Avast威脅實驗室的研究人員觀察到了攻擊者傳播Raccoon Stealer的一些更具有創(chuàng)造性的方式���。并且他們的傳播技術(shù)繁雜多樣�����,只有你想不到的���。
除了通過使用兩個加載器Buer Loader和Gcleaner進(jìn)行傳播外,攻擊者還可以通過偽造游戲作弊器、破解軟件的補(bǔ)丁�����,這其中還包括了Fortnite�����、Valorant和NBA2K22的MOD���,或者是其他軟件來傳播Raccoon Stealer�。
他補(bǔ)充說����,網(wǎng)絡(luò)犯罪分子還注意通過使用Themida或惡意軟件打包器來試圖逃避檢測��,據(jù)觀察�,一些攻擊樣本連續(xù)使用同一個打包器打包次數(shù)超過了五次。
在Telegram上濫用C2
該報告詳細(xì)介紹了最新版本的Raccoon Stealer是如何與Telegram內(nèi)的C2進(jìn)行通信的�。根據(jù)該帖子,其C2通信有四個特征值��,它們在每個Raccoon Stealer樣本中都有硬編碼��。它們分別是:
MAIN_KEY,該數(shù)值在這一年中已經(jīng)發(fā)生了四次改變����。
Telegram gate的URL,其包含一個通道名稱��。
BotID�����,一個十六進(jìn)制的字符串�����,每次都會被發(fā)送到C2��。
TELEGRAM_KEY����,一個用于解密從Telegram獲得的C2地址的密鑰。
為了劫持Telegram的C2�,惡意軟件首先需要解密出MAIN_KEY值,它可以用來解密Telegram gate的URL和BotID���。Martyanov寫道�,攻擊者然后會使用Telegram gate,通過一連串的操作�,最終允許它使用Telegram基礎(chǔ)設(shè)施來存儲和更新實際的C2地址。
通過執(zhí)行C2的命令來下載和執(zhí)行任意文件��,攻擊者還能夠分發(fā)惡意軟件���。Avast威脅實驗室收集了大約185個文件�����,總共大小為265兆字節(jié)����,其中包括下載器�����、剪貼板加密竊取器和WhiteBlackCrypt勒索軟件�����,這些都是由Raccoon Stealer分發(fā)的�����。
避免針對俄羅斯的實體進(jìn)行攻擊
該惡意軟件一旦開始執(zhí)行�����,Racoon Stealer就會開始檢查被感染設(shè)備上設(shè)置的默認(rèn)用戶語言�����,如果是以下語言之一����,就不會執(zhí)行任何操作。
俄羅斯�、烏克蘭、白俄羅斯���、哈薩克�、吉爾吉斯�、亞美尼亞、塔吉克或烏茲別克����。
因此研究人員認(rèn)為,這可能是因為開發(fā)者本身就是俄羅斯人���。
然而���,Avast威脅實驗室還發(fā)現(xiàn)�����,在最近我們所成功阻止的攻擊中��,攻擊數(shù)量最多的國家是針對俄羅斯的�。這很有趣�����,因為惡意軟件背后的攻擊者不想感染俄羅斯或中亞地區(qū)的計算機(jī)����。
他還指出,這可能是因為攻擊是通過噴灑式的方式進(jìn)行傳播的��,將惡意軟件傳播到了世界各地��。惡意軟件在到達(dá)被感染的設(shè)備之前不會檢查用戶的位置���。如果它發(fā)現(xiàn)設(shè)備位于開發(fā)者不想攻擊的地區(qū)�����,它就不會運(yùn)行�。
Martyanov寫道���,這也就解釋了為什么我們在俄羅斯檢測到了這么多的攻擊企圖�,也就是說��,在它進(jìn)入檢查設(shè)備位置的階段之前����,我們就可以將其進(jìn)行攔截。如果一個未受保護(hù)的設(shè)備在遇到惡意軟件時��,其地域設(shè)置為英語或任何其他不在列表上的語言��,它仍然會被感染����。
