Fallout EK SmokeLoader特洛伊木马攻击日本 韩国 中东 南欧和亚太地区用户

  • A+
所属分类:网络安全新闻

Fallout EK SmokeLoader特洛伊木马攻击日本 韩国 中东 南欧和亚太地区用户

最近发现的漏洞利用工具包(EK)已用于针对日本,韩国,中东,南欧和亚太地区其他国家用户的活动。

被称为Fallout 的新EK一直使用SmokeLoader特洛伊木马瞄准日本用户,但也观察到在中东地区提供GandCrab勒索软件。然而,在丢弃有效负载之前,EK指纹浏览器配置文件以识别感兴趣的目标。

FireEye的安全研究人员发现,目标用户通过多个302重定向从真正的广告商页面重定向到漏洞利用工具包登陆页面URL。

根据用户的操作系统和浏览器,攻击可以直接发送EK,也可以尝试将受害者重新路由到其他社交工程活动。例如,美国的macOS用户被重定向到社会工程尝试,无论是反病毒软件还是Flash更新。

该策略与FireEye一段时间以来观察到的社交工程尝试的兴起是一致的,其中不良行为者使用它们来定位完全修补系统上的用户或任何不适合任何漏洞利用尝试的操作系统/软件配置文件。软件漏洞,安全公司指出。

FireEye称,该活动一直针对政府,电信和医疗保健领域的实体。

安全研究人员透露,Fallout的登陆页面最初只包含VBScript漏洞的代码,但后来为其添加了Flash嵌入代码。VBScript加载一个JScript函数,该函数解码恶意的下一阶段VBScript以利用CVE-2018-8174并执行下载,解密和执行有效负载的shellcode。

删除的文件包含用于初始加载和最终有效负载执行的PE加载程序代码 解压缩的DLL枚举所有正在运行的进程,创建其crc32校验和,并尝试将它们与列入黑名单的校验和列表进行匹配。

如果找到,恶意软件进入无限循环。如果检查通过,则启动新线程。恶意软件会检查自己的映像路径,操作系统版本和体系结构。

根据Windows版本和体系结构,恶意软件会尝试获取ctfmon.exe 或rundll32.exe的所有权,或者将其替换为自身的副本。它还增加了启动和重新启动系统。

如果无法成功替换目标系统文件,则恶意软件会在其他位置复制自身,然后通过ShellExecuteW执行。

此攻击中的最终有效负载是GandCrab勒索软件,该软件正在被恶意软件提取并手动加载到内存中。

近年来,地下行动的逮捕和破坏导致漏洞利用工具包活动严重下降。但是,漏洞利用工具包对未运行完全修补系统的用户构成了重大威胁。如今,我们在亚太地区看到了更多的漏洞利用工具包活动,用户往往拥有更多易受攻击的软件。同时,在北美,重点往往是更直接的社会工程活动,FireEye总结道。

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!