Unit 42 揭示了臭名昭著的 RomCom 恶意软件家族的新变体,称为“SnipBot”。这种复杂的恶意软件于 2024 年初首次被发现,旨在渗透企业网络、执行远程命令和下载其他恶意负载。SnipBot 代表了 RomCom 的最新版本,结合了新颖的代码混淆技术和先进的反检测策略。据信,这是针对 IT 服务、法人实体和农业等行业的更广泛活动的一部分。
2024 年 4 月,Unit 42 检测到一个不寻常的 DLL 模块,该模块后来被确定为 SnipBot 恶意软件工具包的一部分。研究人员重建了感染链和感染后活动。SnipBot 会经历几个阶段,最初的感染通常通过包含伪装可执行文件的网络钓鱼电子邮件传递,该文件通常伪装成合法的 PDF。
PDF 诱饵文档引向 SnipBot 下载器 |图片: Unit 42
SnipBot 利用被盗或欺诈性的代码签名证书,确保初始有效负载看起来合法。但是,后续模块仍未签名,这使得检测更具挑战性。该恶意软件还采用了多种反沙盒技术,例如进程名称验证和注册表项检查,使分析进一步复杂化。
一旦进入受害者的系统,SnipBot 就会授予攻击者广泛的控制权,使他们能够执行命令、收集系统信息和泄露数据。该恶意软件还可以下载其他恶意负载,包括 SnippingTool.dll 和 svcnet.exe 等模块,这些模块为攻击者提供了更多功能。
Unit 42 观察到的关键感染后活动之一涉及攻击者试图从受害者的网络收集数据,包括域控制器信息。泄露过程是使用 PuTTY 和 WinRAR 等合法工具启动的,这些工具被重新用于 fsutil.exe 和 dsutil.exe 等虚假名称的恶意活动。
虽然 RomCom 历来与勒索软件和勒索活动有关,但 SnipBot 的行为表明正在转向情报收集和间谍活动。目标行业、有效载荷的选择以及攻击者在感染后谨慎的行动意味着他们专注于数据泄露,而不是直接的经济利益。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容