卡巴斯基的新报告揭示了恶意软件DarkGate,Emotet和LokiBot的复杂感染策略。在 DarkGate 的独特加密技术和 Emotet 的强势回归中,LokiBot 的漏洞利用仍然存在,这说明网络安全形势在不断演化。
2023年6月,卡巴斯基的研究人员发现了一种名为 DarkGate 的新型加载器,它拥有一系列超出典型下载器功能的特性。一些值得注意的功能包括隐藏的 VNC、Windows Defender 排除功能、浏览器历史记录窃取、反向代理、文件管理和 Discord 令牌窃取功能。DarkGate的操作涉及四个阶段,这些阶段经过精心设计,最后会加载DarkGate本身。这款加载器的独特之处在于,它利用特殊字符集,使用个性化密钥和自定义版本的Base64编码对字符串进行加密。
此外,卡巴斯基的研究还检查了 Emotet 的活动,这是一个臭名昭著的僵尸网络,在2021年被关闭后又死灰复燃。在其最新的活动中,用户在不知情的情况下打开恶意 OneNote 文件,会触发执行一个隐藏和伪装的 VBScript。然后,该脚本会尝试从多个网站下载有害的有效载荷,直至成功渗透到系统中。进入系统后,Emotet 会在临时目录中植入一个 DLL,然后执行它。这个 DLL 包含隐藏指令或 shellcode,以及加密的导入功能。通过巧妙地从资源部分解密特定文件,Emotet获得控制权,最终执行其恶意有效载荷。
最后,卡巴斯基检测到一场针对货船公司的网络钓鱼活动,这些攻击活动中会交付LokiBot。LokiBot是一种信息窃取工具,于2016年首次发现,被用来从各种应用程序(包括浏览器和FTP客户端)窃取凭据。这些钓鱼邮件包含一个Excel文档附件,该文件会提示用户启用宏。攻击者利用Microsoft Office 中的一个已知漏洞(CVE-2017-0199),会导致下载一个RTF文档。该RTF 文档随后会利用另一个漏洞(CVE-2017-11882) 来交付和执行LokiBot恶意软件。
“Emotet的回归、Lokibot的持续肆虐以及DarkGate的出现,都清楚地提醒我们正在面临不断演化的网络威胁。随着这些恶意软件不断调整并采取新的感染手段,对个人和企业来说,保持警惕并投资网络安全解决方案非常重要。卡巴斯基正在进行的对Darkgate、Emotet和Lokibot的研究和检测强调了采取主动措施的重要性,以防范不断演变的网络威胁,”卡巴斯基全球研究与分析团队高级安全研究员Jornt van der Wiel评论说。
更多有关这些最新感染手段的详情,请参阅Securelist。
为了保护您和您的企业免受勒索软件攻击,请考虑遵循卡巴斯基提出的以下建议:
· 确保您使用的所有的设备上的软件保持更新,避免攻击者利用漏洞入侵您的网络。
· 将您的防御策略集中在检测横向移动和数据如何被泄露到互联网上。要特别注意出站流量以检测网络罪犯的连接。建立入侵者无法篡改的离线备份。确保在需要时,您能在紧急情况下快速访问它们。
· 为所有端点都启用反勒索软件保护。免费的卡巴斯基反勒索软件工具企业版能够保护计算机和服务器免受勒索软件和其他类型的恶意软件的侵害,阻止漏洞,并且与已经安装的安全解决方案兼容。
· 安装反APT和EDR解决方案,启用高级威胁发现和检测功能,进行及时的事件调查和修复。为您的SOC团队提供最新的威胁情报,并定期对他们进行专业培训,提高他们的技能。以上所有服务都可以通过卡巴斯基专家安全框架获取。
· 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。为了帮助企业在这个动荡的时代实现有效的防御,卡巴斯基宣布免费提供独立的、不断更新的、来自全球的关于正在进行的网络攻击和威胁的信息。请点击这里获取免费访问。