Purple Fox Malware hình thành giống như một con Worm Trên Windows

Phần mềm độc hại

Theo các nhà nghiên cứu phần mềm độc hại tại Guardicore, một nhà điều hành mạng botnet đã sử dụng mật khẩu SMB để bắt buộc lây nhiễm và lan truyền giống như một con sâu thông qua hệ sinh thái Microsoft Windows, theo các nhà nghiên cứu phần mềm độc hại tại Guardicore.

Purple Fox, chiến dịch phần mềm độc hại, đã hoạt động ít nhất từ ​​năm 2018 và việc phát hiện ra vectơ lây nhiễm giống sâu mới nhất là một dấu hiệu khác cho thấy tội phạm mạng tiếp tục hưởng lợi từ phần mềm độc hại cấp người dùng .

Kẻ khai thác Purple Fox chủ yếu sử dụng bộ công cụ khai thác và email lừa đảo để tạo mạng botnet cho mục đích khai thác tiền điện tử và các mục đích bất chính khác, theo nhà nghiên cứu Amit Serper của Guardicore.

Phương pháp tiếp cận brute-force mới của SMB hiện đang được sử dụng cùng với các khả năng của rootkit để che đậy và lan truyền thông qua các máy tính Windows sử dụng Internet có mật khẩu kém.

Mạng cảm biến toàn cầu Guardicore (GGSN) đã phát hiện ra kỹ thuật phát tán mới của Purple Fox thông qua việc quét cổng bừa bãi và khai thác các dịch vụ SMB có mật khẩu và mã băm yếu trong khoảng thời gian từ cuối năm 2020 đến đầu năm 2021, theo Serper.

Serper nói rằng vào tháng 5 năm 2020, có một “lượng lớn hoạt động độc hại”, với số lượng các vụ lây nhiễm tăng 600% lên tổng số 90.000 cuộc tấn công.

Blog của Serper, bao gồm các IOC để hỗ trợ những người bảo vệ trong việc tìm kiếm các dấu hiệu lây nhiễm, mô tả sự hung hãn của kẻ điều hành phần mềm độc hại:

“Mặc dù có vẻ như chức năng của Purple Fox không thay đổi nhiều về việc khai thác như một số bài đã đăng trước đây nhưng phương thức phát tán và phân phối – cũng như hành vi giống như worm của nó – khác nhiều so với mô tả trong các bài báo đã xuất bản trước đây. Trong suốt quá trình nghiên cứu của mình, chúng tôi đã quan sát thấy một cơ sở hạ tầng dường như được tạo ra từ một loạt các máy chủ dễ bị khai thác và dễ bị tấn công lưu trữ phần mềm độc hại ban đầu, các máy bị nhiễm đang đóng vai trò là nút của các chiến dịch diệt mối liên tục đó và cơ sở hạ tầng máy chủ dường như có liên quan đến các chiến dịch phần mềm độc hại khác.

Theo nhóm của Serper tại Guardicore, những kẻ tấn công đang lưu trữ các gói MSI khác nhau trên gần 2.000 máy chủ, phần lớn trong số đó là các máy tính bị xâm nhập đã được sử dụng lại để lưu trữ các tải trọng độc hại.

Trong một bài đăng trên blog kỹ thuật , Guardicore cho biết, “Chúng tôi đã xác nhận rằng phần lớn các máy chủ phục vụ tải trọng ban đầu đang chạy trên các phiên bản tương đối cũ của Windows Server chạy IIS phiên bản 7.5 và Microsoft FTP, được biết là có nhiều lỗ hổng bảo mật khác nhau. mức độ nghiêm trọng. ”

Công ty phát hiện ra rằng chiến dịch lây lan theo hai cơ chế khác nhau: một khối lượng sâu sau khi máy tính nạn nhân bị nhiễm qua một dịch vụ dễ bị lộ (chẳng hạn như SMB); hoặc trọng tải sâu được truyền qua email thông qua hoạt động lừa đảo.

Những kẻ săn mã độc được khuyến khích sử dụng các chỉ báo công khai về sự xâm phạm để tìm kiếm các dấu hiệu của hoạt động độc hại liên quan đến mối đe dọa này, theo công ty.

Mark Funk là một chuyên gia bảo mật thông tin giàu kinh nghiệm, người làm việc với các doanh nghiệp để hoàn thiện và cải thiện các chương trình bảo mật doanh nghiệp của họ. Trước đây, anh làm phóng viên tin tức an ninh.

SECURITY365 / BQT -CEHVIETNAM

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s