微软警告黑客使用谷歌广告分发皇家勒索软件
已发现一个正在开发的威胁活动集群在其一个广告系列中使用 Google Ads 来分发各种入侵后有效负载,包括最近发现的Royal 勒索软件。
已发现一个正在开发的威胁活动集群在其一个广告系列中使用 Google Ads 来分发各种入侵后有效负载,包括最近发现的Royal 勒索软件。
微软在 2022 年 10 月下旬发现了更新的恶意软件传递方法,正在以DEV-0569 的名义跟踪该组织。
微软安全威胁情报团队在一份分析中表示:“观察到的DEV-0569攻击显示出持续创新的模式,定期纳入新的发现技术,防御规避和各种入侵后有效载荷,同时增加勒索软件的便利性。
众所周知,威胁行为者依靠恶意广告将毫无戒心的受害者指向恶意软件下载器链接,这些链接伪装成Adobe Flash Player,AnyDesk,LogMeIn,Microsoft Teams和Zoom等合法应用程序的软件安装程序。
恶意软件下载器是一种称为BATLOADER 的菌株,是一种滴管,可用作分发下一阶段有效载荷的管道。据观察,它与另一种名为ZLoader的恶意软件共享重叠。
eSwhole和VMware最近对 BATLOADER 的分析指出了该恶意软件的隐身性和持久性,此外它还使用搜索引擎优化 (SEO) 中毒来引诱用户从受感染的网站或攻击者创建的域下载恶意软件。
或者,网络钓鱼链接通过垃圾邮件、虚假论坛页面、博客评论甚至目标组织网站上的联系表单共享。
“DEV-0569使用PowerShell和批处理脚本使用了各种感染链,最终导致下载恶意软件有效载荷,如信息窃取程序或用于网络持久性的合法远程管理工具,”这家科技巨头指出。
“管理工具也可以成为勒索软件暂存和传播的接入点。”
还利用了一种称为 NSudo 的工具,用于启动具有提升权限的程序,并通过添加旨在禁用防病毒解决方案的注册表值来损害防御。
该公司指出,使用谷歌广告提供BATLOADER有选择地标志着DEV-0569分发载体的多样化,使其能够到达更多目标并提供恶意软件有效载荷。
它进一步将该小组定位为其他勒索软件操作的初始访问代理,加入Emotet,IcedID,Qakbot等恶意软件。
“由于DEV-0569的网络钓鱼计划滥用合法服务,组织还可以利用邮件流规则来捕获可疑关键字或查看广泛的例外情况,例如与IP范围和域级允许列表相关的例外情况,”微软表示。
微软在 2022 年 10 月下旬发现了更新的恶意软件传递方法,正在以DEV-0569 的名义跟踪该组织。
微软安全威胁情报团队在一份分析中表示:“观察到的DEV-0569攻击显示出持续创新的模式,定期纳入新的发现技术,防御规避和各种入侵后有效载荷,同时增加勒索软件的便利性。
众所周知,威胁行为者依靠恶意广告将毫无戒心的受害者指向恶意软件下载器链接,这些链接伪装成Adobe Flash Player,AnyDesk,LogMeIn,Microsoft Teams和Zoom等合法应用程序的软件安装程序。
恶意软件下载器是一种称为BATLOADER 的菌株,是一种滴管,可用作分发下一阶段有效载荷的管道。据观察,它与另一种名为ZLoader的恶意软件共享重叠。
eSwhole和VMware最近对 BATLOADER 的分析指出了该恶意软件的隐身性和持久性,此外它还使用搜索引擎优化 (SEO) 中毒来引诱用户从受感染的网站或攻击者创建的域下载恶意软件。
或者,网络钓鱼链接通过垃圾邮件、虚假论坛页面、博客评论甚至目标组织网站上的联系表单共享。
“DEV-0569使用PowerShell和批处理脚本使用了各种感染链,最终导致下载恶意软件有效载荷,如信息窃取程序或用于网络持久性的合法远程管理工具,”这家科技巨头指出。
“管理工具也可以成为勒索软件暂存和传播的接入点。”
还利用了一种称为 NSudo 的工具,用于启动具有提升权限的程序,并通过添加旨在禁用防病毒解决方案的注册表值来损害防御。
该公司指出,使用谷歌广告提供BATLOADER有选择地标志着DEV-0569分发载体的多样化,使其能够到达更多目标并提供恶意软件有效载荷。
它进一步将该小组定位为其他勒索软件操作的初始访问代理,加入Emotet,IcedID,Qakbot等恶意软件。
“由于DEV-0569的网络钓鱼计划滥用合法服务,组织还可以利用邮件流规则来捕获可疑关键字或查看广泛的例外情况,例如与IP范围和域级允许列表相关的例外情况,”微软表示。
关于作者
评论0次