据云安全公司Qualys声称,最近一起恶意软件活动背后的威胁分子一直在使用哥伦比亚银行客户的被盗信息作为网络钓鱼邮件的诱饵,目的在于用BitRAT远程访问木马感染目标。
该公司在调查活跃网络钓鱼攻击中的BitRAT诱饵时发现,一家未公开身份的哥伦比亚合作银行的基础设施遭到了攻击者的劫持。
总共418777条含有敏感客户数据的记录从遭到攻击的服务器中被盗,这些敏感客户数据包括姓名、电话号码、电子邮件地址、住址、哥伦比亚身份证、付款记录和工资信息。
在调查这起活动时,Qualys还发现了表明攻击者已访问客户数据的证据,包括显示攻击者使用sqlmap工具寻找SQL注入错误的日志。
Qualys表示:“此外,诱饵本身含有来自这家银行的敏感数据,以便诱饵看起来很逼真。这意味着攻击者已经获得了客户数据的访问权。”
“我们在进一步深入研究该银行的基础设施时发现了表明使用sqlmap工具来查找潜在SQLi错误的日志,还发现了实际的数据库转储内容。”
目前,从这家哥伦比亚银行的服务器上被盗的任何信息还都没有出现在Qualys监测的暗网或明网网站上。
恶意软件通过一个恶意Excel文件投放到受害者的计算机上,该恶意文件投放并执行在一个与附件捆绑的高度混淆处理的宏中编码的INF文件。.inf攻击载荷被分割成了宏中的数百个数组。反混淆例程对这些数组执行了算术运算,以重新构建攻击载荷。随后宏将攻击载荷写入到temp,并通过advpack.dll执行它。
图1. Excel BitRAT诱饵(来源:Qualys)
最终的BitRAT攻击载荷随后使用受攻击设备上的WinHTTP库从GitHub代码库下载,并在WinExec函数的帮助下加以执行。
在攻击的最后阶段,RAT恶意软件将其加载程序移动到Windows启动文件夹以获得持久性,并在系统重新启动后自动重启。
至少从2020年8月开始,BitRAT作为现成的恶意软件在暗网市场和网络犯罪论坛上出售,只需支付20美元即可获得长期访问权。
在支付许可证费用后,每个“客户”都可以使用各自的方法用这种恶意软件感染受害者,比如网络钓鱼、水坑攻击和木马软件。
用途广泛的BitRAT可用于实施各种恶意目的,包括:泄露数据、记录击键内容、录制视频和音频、窃取数据、DDoS攻击、加密货币挖掘、针对进程/文件/软件等运行任务以及投放额外的攻击载荷。
Qualys公司的威胁研究高级工程师Akshat Pradhan说:“现成的商用RAT一直在完善和改进其传播方法,以便感染受害者。”
“他们还增加了使用合法基础设施来托管其攻击载荷的力度,防御者需要注意到这一点。我们Qualys威胁研究部门会继续监测并记录这类威胁,了解其不断变化的策略、技术和程序(TTP)。”
T1071.001 应用程序层协议:邮件协议
T1102 Web服务
T1218.011 系统二进制代理执行:Rundll32
T1218 系统二进制代理执行
T1584 攻陷基础设施
T1059.003 命令和脚本解释器:Windows命令外壳
T1140 反混淆/解码文件或信息
T1204.002 用户执行:恶意文件
T1547.001 启动或登录自动启动执行:注册表运行键/启动文件夹
参考及来源:https://www.bleepingcomputer.com/news/security/bitrat-malware-campaign-uses-stolen-bank-data-for-phishing/