信息来源:mottoin
马上就要0202年了,我们要算经历过大风大浪的人了,什么攻击活动没见过,可是最近出现的攻击活动大家还真不一定见过。研究人员发现了一个针对全球组织的大规模黑客攻击活动,由于它一次性分发六种恶意软件(是的,你没看错,就是六种),所以研究人员将其称之为“Hornet's Nest”(马蜂窝)。
研究人员认为,这次活动是网络犯罪即服务的一部分。代码中的线索指向由说俄语的攻击者编写的Legion Loader,研究人员注意到该恶意软件仍在开发和更新中。这次攻击活动的目标主要集中在美国和欧洲。
目前尚不清楚攻击最初是怎么发生的,但是一旦在计算机上启动并运行,Legion Loader将执行PowerShell命令,开始检索其恶意有效负载。然后,其将分发三种不同的特洛伊木马恶意软件,所有这些恶意软件都可以在地下论坛上找到。
第一个是Vidar木马,它主要用来窃取各种个人信息(包括屏幕截图和数据)。Vidar由C++撰写,于2018年10月出现,黑市价格在250-700美元之间,买家还可从C2(命令与控制)商店自动生成恶意代码。Vidar的功能包括搜寻特定文件、窃取浏览器cookie中的ID、窃取浏览器历史记录、窃取加密货币钱包、从双因素认证软件中窃取数据、窃取通信软件中的数据,还可获取屏幕截图。
值得注意的是,Vidar是一种高度商品化的恶意软件,因此研究人员无法确认其背后的开发者具体是谁。
第二个木马是Predator The Thief,这是一种恶意软件,可以窃取数据并能够使用受害者的网络摄像头捕获图像。该软件使用C/C++语言编写。与当今主流的恶意软件一样,该恶意软件可以作为构建器(Builder),也可以通过C&C渠道下载额外的恶意软件。
第三个是Racoon Stealer,这是一种相对较新的信息窃取器,功能强大,但操作起来非常容易,使用者还能根据自己的需求对其进行自定义。
除了这三种恶意软件外,Legion Loader还包含一个基于RDP的后门,为攻击者提供了进入受感染计算机的入口。这让那些使用Legion Loader的人将来进行其他攻击。
Legion Loader可以让攻击者窃取大量个人数据,虽然买它需要花钱,但买了之后攻击者可以通过进行欺诈或在暗网上出售信息来赚钱,可谓是一本万利,不亏本的买卖。
但是,这个被研究人员称之为Hornet's Nest的攻击活动为攻击者提供了另一条赚钱的思路:Legion Loader有效载荷还包括基于PowerShell的加密货币窃取程序,攻击者可以利用该程序攻击受害者的比特币钱包,这样你的比特币就是他的了。
除此之外,Legion Loader有效载荷还带有一个加密货币矿工,该矿工利用受害者计算机的处理能力来挖矿。
虽然这个攻击活动并非十分复杂,但看看攻击者能干多少事,心就凉了多少截,毕竟这种多管齐下的攻击可是各种组织、企业的“安全噩梦”。