趋势科技已检测到 Water Curupira 组织正在积极传播 PikaBot 恶意软件。该活动从 2023 年第一季度开始,一直持续到 6 月底,随后在9月再次出现。
PikaBot 用于网络钓鱼活动,由两个组件组成:下载器和主模块。这种结构允许黑客通过连接到管理服务器进行未经授权的远程访问和任意命令执行,且检测风险较小。
Water Curupira 组织的活动与之前由 TA571 和 TA577 组织使用类似策略传播 QakBot 的活动重叠。PikaBot 活动的增加与 8 月份 QakBot 被清算以及 DarkGate 恶意软件的出现有关。
PikaBot 主要用作下载程序,它会启动其他恶意软件,包括后利用工具 Cobalt Strike,该工具通常在实际勒索软件部署之前使用。
PikaBot 的分发策略非常简单和熟悉:黑客将恶意附件集成到电子邮件中,下载和启动它们会导致计算机感染恶意软件。
值得注意的是,在启动感染链之前,引导加载程序会检查 Windows 操作系统的语言,如果检测到俄语或乌克兰语,则会中断执行。这表明了对 Water Curupira 群体可能起源的一些思考。
如果计算机受到攻击,PikaBot 会收集有关受害者系统的详细信息,并将其以 JSON 格式发送到控制服务器。Water Curupira 恶意活动的目标是部署 Cobalt Strike,这通常会导致随后启动 Black Basta 勒索软件。
此外,趋势科技指出,Water Curupira 在 2023 年第三季度初使用 DarkGate 开展了多项活动,并开展了少量 IcedID 活动,此后该组织完全转向使用 PikaBot。
转自安全客,原文链接:https://www.anquanke.com/post/id/292555
封面来源于网络,如有侵权请联系删除