安全研究人員發(fā)現(xiàn),最近涉及 Jupyter 復(fù)雜新變種的攻擊有所增加,Jupyter 是一種信息竊取程序,至少自 2020 年以來(lái)一直針對(duì) Chrome、Edge 和 Firefox 瀏覽器的用戶。
該惡意軟件也稱為 Yellow Cockatoo、Solarmarker 和 Polazert,可以對(duì)計(jì)算機(jī)進(jìn)行后門并收集各種憑據(jù)信息,包括計(jì)算機(jī)名稱、用戶的管理權(quán)限、cookie、Web 數(shù)據(jù)、瀏覽器密碼管理器信息以及其他敏感數(shù)據(jù)。受害者系統(tǒng)——例如加密錢包和遠(yuǎn)程訪問(wèn)應(yīng)用程序的登錄。
VMware Carbon Black 托管檢測(cè)和響應(yīng) (MDR) 服務(wù)的研究人員最近觀察到,新版本的惡意軟件利用 PowerShell 命令修改和看似合法的數(shù)字簽名有效負(fù)載,自 10 月底以來(lái)感染的系統(tǒng)數(shù)量穩(wěn)步增加。
VMware 本周在其安全博客中表示:“最近的 Jupyter 感染利用多個(gè)證書來(lái)簽署其惡意軟件,從而允許對(duì)惡意文件授予信任,從而提供對(duì)受害者計(jì)算機(jī)的初始訪問(wèn)權(quán)限。” “這些修改似乎增強(qiáng)了 [Jupyter’s] 的規(guī)避能力,使其保持不顯眼。”
Morphisec和BlackBerry(之前追蹤過(guò) Jupyter 的另外兩家供應(yīng)商)已確定該惡意軟件能夠充當(dāng)成熟的后門。他們將其功能描述為包括支持命令和控制 (C2) 通信、充當(dāng)其他惡意軟件的植入程序和加載程序、挖空 shell 代碼以逃避檢測(cè)以及執(zhí)行 PowerShell 腳本和命令。
黑莓報(bào)告稱,除了訪問(wèn) OpenVPN、遠(yuǎn)程桌面協(xié)議和其他遠(yuǎn)程訪問(wèn)應(yīng)用程序之外,觀察到 Jupyter 還針對(duì)加密錢包,例如以太坊錢包、MyMonero 錢包和 Atomic 錢包。
惡意軟件的操作者使用了多種技術(shù)來(lái)傳播惡意軟件,包括搜索引擎重定向到惡意網(wǎng)站、偷渡式下載、網(wǎng)絡(luò)釣魚和 SEO 中毒,或者惡意操縱搜索引擎結(jié)果來(lái)傳播惡意軟件。
在最近的攻擊中,Jupyter 背后的威脅參與者一直在使用有效證書對(duì)惡意軟件進(jìn)行數(shù)字簽名,以便惡意軟件檢測(cè)工具認(rèn)為它是合法的。這些文件的名稱旨在欺騙用戶打開它們,標(biāo)題為“ An-employers-guide-to-group-health-continuation.exe ”和“ How-To-Make-Edits-On-A-Word” -文檔-Permanent.exe “。
VMware 研究人員觀察到該惡意軟件與其 C2 服務(wù)器建立多個(gè)網(wǎng)絡(luò)連接,以解密信息竊取者有效負(fù)載并將其加載到內(nèi)存中,幾乎在登陸受害系統(tǒng)后立即進(jìn)行。
VMware 的報(bào)告稱:“Jupyter 感染針對(duì) Chrome、Edge 和 Firefox 瀏覽器,利用 SEO 中毒和搜索引擎重定向來(lái)鼓勵(lì)惡意文件下載,這是攻擊鏈中的初始攻擊媒介。” “該惡意軟件展示了用于竊取敏感數(shù)據(jù)的憑證收集和加密 C2 通信功能。”
據(jù)供應(yīng)商稱,Jupyter 是 VMware 近年來(lái)在客戶端網(wǎng)絡(luò)上檢測(cè)到的十大最常見(jiàn)感染之一。這與其他人報(bào)告的情況一致,即在 COVID-19 大流行開始后,許多組織大規(guī)模轉(zhuǎn)向遠(yuǎn)程工作,信息竊取者的使用急劇增加,令人擔(dān)憂。
例如,Red Canary 報(bào)告稱,RedLine、Racoon 和 Vidar 等信息竊取者在 2022 年多次躋身前 10 名。大多數(shù)情況下,惡意軟件通過(guò)惡意廣告或 SEO 操縱以虛假或有毒的合法軟件安裝程序文件的形式出現(xiàn)。該公司發(fā)現(xiàn)攻擊者使用該惡意軟件主要是試圖從遠(yuǎn)程工作人員那里收集憑據(jù),從而實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)和系統(tǒng)的快速、持久和特權(quán)訪問(wèn)。
紅金絲雀研究人員表示:“沒(méi)有哪個(gè)行業(yè)能夠免受竊取者惡意軟件的侵害,此類惡意軟件的傳播通常是投機(jī)性的,通常是通過(guò)廣告和搜索引擎優(yōu)化操縱。”
今年早些時(shí)候,Uptycs 報(bào)告稱,信息竊取者的分布也出現(xiàn)了類似且令人不安的增長(zhǎng)。該公司跟蹤的數(shù)據(jù)顯示,與去年同期相比,2023 年第一季度攻擊者部署信息竊取程序的事件數(shù)量增加了一倍多。安全供應(yīng)商發(fā)現(xiàn)威脅行為者使用惡意軟件竊取用戶名和密碼、瀏覽器信息(例如配置文件和自動(dòng)填充信息)、信用卡信息、加密錢包信息和系統(tǒng)信息。據(jù) Uptycs 稱,Radamanthys 等較新的信息竊取者還可以專門從多因素身份驗(yàn)證應(yīng)用程序中竊取日志。包含被盜數(shù)據(jù)的日志隨后會(huì)在需求量很大的犯罪論壇上出售。
Uptycs 研究人員警告說(shuō):“被盜數(shù)據(jù)的泄露會(huì)對(duì)組織或個(gè)人產(chǎn)生危險(xiǎn)的影響,因?yàn)檫@些數(shù)據(jù)很容易在暗網(wǎng)上出售,作為其他威脅行為者的初始訪問(wèn)點(diǎn)。”
CISA 警報(bào):高嚴(yán)重性 SLP 漏洞現(xiàn)已被積極利用
被黑客入侵的思科設(shè)備上的后門植入經(jīng)過(guò)修改以逃避檢測(cè)
聊天機(jī)器人提供了如何進(jìn)行生物武器攻擊的路線圖
未修補(bǔ)的關(guān)鍵思科零日漏洞正在被積極利用
CISA 現(xiàn)在標(biāo)記了勒索軟件利用的漏洞和錯(cuò)誤配置
Microsoft 發(fā)布 2023 年 10 月補(bǔ)丁,修復(fù) 103 個(gè)漏洞,其中包括 2 個(gè)活躍漏洞
讓我們深入挖掘:利用 Group-IB 欺詐矩陣剖析新的 Android 木馬 GoldDigger
ShadowSyndicate:與 7 個(gè)勒索軟件系列相關(guān)的新網(wǎng)絡(luò)犯罪組織
介紹視頻封面完整版-jpg.webp)
