黑客組織濫用Telegram進行攻擊
2022年03月25日
幾年前首次出現(xiàn)的一個憑證竊取組織現(xiàn)在正在濫用Telegram作為C2服務器進行網絡攻擊����。研究人員報告說���,一系列的網絡犯罪分子會繼續(xù)通過使用這樣更有創(chuàng)造性的攻擊手段來擴大其攻擊面���。
根據Avast威脅實驗室在本周發(fā)表的一篇博文,2019年4月份首次出現(xiàn)在網絡中的Raccoon Stealer已經開始在Telegram的基礎設施上存儲和更新自己的C2地址�。研究人員說,這讓他們在平臺上有了一個更加方便和可靠的指揮中心�����,可以隨時更新C2的信息。
該惡意軟件據說是由與俄羅斯有關的網絡犯罪分子開發(fā)和維護的�����。其核心工具是一個憑證竊取器���,但是該工具能夠進行一系列的攻擊活動����。它不僅可以竊取密碼���,還可以竊取cookie�、瀏覽器中保存的登錄信息和表單的數據��、電子郵件客戶端以及登錄憑證�����、加密錢包中的文件����、瀏覽器插件和擴展程序中的數據以及任意文件。這些都可以通過其C2命令完成。
Avast威脅實驗室研究員Vladimir Martyanov在其帖子中寫道�����,它能夠通過來自其C2的命令下載和執(zhí)行任意文件����。這也就使得Raccoon Stealer變得更加危險�。
在2019年發(fā)布后,網絡犯罪分子迅速開始采用該惡意軟件進行攻擊�,由于其用戶友好的惡意軟件即服務(MaaS)模式,給了他們一個更加快速和簡單的方式--通過竊取敏感數據來賺錢��。
創(chuàng)造性的傳播方式
早期����,攻擊者通過黑客控制的Dropbox賬戶上托管的IMG文件,在針對金融機構和其他組織的商業(yè)電子郵件破壞(BEC)活動中提供Raccoon Stealer進行攻擊�����。
Martyanov說����,最近,Avast威脅實驗室的研究人員觀察到了攻擊者傳播Raccoon Stealer的一些更具有創(chuàng)造性的方式。并且他們的傳播技術繁雜多樣��,只有你想不到的���。
除了通過使用兩個加載器Buer Loader和Gcleaner進行傳播外��,攻擊者還可以通過偽造游戲作弊器�����、破解軟件的補丁��,這其中還包括了Fortnite�、Valorant和NBA2K22的MOD����,或者是其他軟件來傳播Raccoon Stealer。
他補充說��,網絡犯罪分子還注意通過使用Themida或惡意軟件打包器來試圖逃避檢測��,據觀察�����,一些攻擊樣本連續(xù)使用同一個打包器打包次數超過了五次。
在Telegram上濫用C2
該報告詳細介紹了最新版本的Raccoon Stealer是如何與Telegram內的C2進行通信的����。根據該帖子,其C2通信有四個特征值���,它們在每個Raccoon Stealer樣本中都有硬編碼�����。它們分別是:
MAIN_KEY,該數值在這一年中已經發(fā)生了四次改變���。
Telegram gate的URL���,其包含一個通道名稱。
BotID���,一個十六進制的字符串�,每次都會被發(fā)送到C2��。
TELEGRAM_KEY�,一個用于解密從Telegram獲得的C2地址的密鑰��。
為了劫持Telegram的C2�����,惡意軟件首先需要解密出MAIN_KEY值�,它可以用來解密Telegram gate的URL和BotID�����。Martyanov寫道����,攻擊者然后會使用Telegram gate,通過一連串的操作����,最終允許它使用Telegram基礎設施來存儲和更新實際的C2地址。
通過執(zhí)行C2的命令來下載和執(zhí)行任意文件���,攻擊者還能夠分發(fā)惡意軟件��。Avast威脅實驗室收集了大約185個文件�����,總共大小為265兆字節(jié)��,其中包括下載器����、剪貼板加密竊取器和WhiteBlackCrypt勒索軟件,這些都是由Raccoon Stealer分發(fā)的��。
避免針對俄羅斯的實體進行攻擊
該惡意軟件一旦開始執(zhí)行�����,Racoon Stealer就會開始檢查被感染設備上設置的默認用戶語言��,如果是以下語言之一�����,就不會執(zhí)行任何操作����。
俄羅斯��、烏克蘭����、白俄羅斯�����、哈薩克�、吉爾吉斯����、亞美尼亞、塔吉克或烏茲別克���。
因此研究人員認為����,這可能是因為開發(fā)者本身就是俄羅斯人�。
然而,Avast威脅實驗室還發(fā)現(xiàn)���,在最近我們所成功阻止的攻擊中��,攻擊數量最多的國家是針對俄羅斯的��。這很有趣����,因為惡意軟件背后的攻擊者不想感染俄羅斯或中亞地區(qū)的計算機。
他還指出�,這可能是因為攻擊是通過噴灑式的方式進行傳播的,將惡意軟件傳播到了世界各地���。惡意軟件在到達被感染的設備之前不會檢查用戶的位置�。如果它發(fā)現(xiàn)設備位于開發(fā)者不想攻擊的地區(qū)�,它就不會運行。
Martyanov寫道���,這也就解釋了為什么我們在俄羅斯檢測到了這么多的攻擊企圖���,也就是說,在它進入檢查設備位置的階段之前��,我們就可以將其進行攔截���。如果一個未受保護的設備在遇到惡意軟件時,其地域設置為英語或任何其他不在列表上的語言���,它仍然會被感染����。
