在过去的几个月里,一种危险的新型恶意软件加载程序具有确定它是在业务系统上还是在个人计算机上的功能,已开始迅速感染全球的系统。
VMware Carbon Black 的研究人员正在跟踪这种被称为 BatLoader 的威胁,并表示其运营商正在使用植入程序在受害者系统上分发各种恶意软件工具,包括银行木马、信息窃取程序和 Cobalt Strike 攻击后工具包。 威胁行为者的策略是在受感染的网站上托管恶意软件,并使用搜索引擎优化 (SEO) 中毒方法引诱用户访问这些网站。
离地生活
BatLoader 严重依赖批处理和 PowerShell 脚本来在受害计算机上获得初始立足点并将其他恶意软件下载到该计算机上。 这使得竞选活动 难以检测和阻止,特别是在早期阶段,VMware Carbon Black 的托管检测和响应 (MDR) 团队的分析师在 14 月 XNUMX 日发布的一份报告中表示。
VMware 表示,其 Carbon Black MDR 团队在过去 43 天内观察到 90 次成功感染,此外还有许多其他不成功的尝试,其中受害者下载了初始感染文件但没有执行它。 受害者中有 XNUMX 家是商业服务部门的组织,XNUMX 家是金融服务公司,XNUMX 家是制造业公司。 其他受害者包括教育、零售、IT 和医疗保健行业的组织。
9 月 XNUMX 日,eSentire 表示,其威胁追踪团队观察到 BatLoader 的运营商将受害者引诱到伪装成流行商业软件(如 LogMeIn、Zoom、TeamViewer 和 AnyDesk)下载页面的网站。 威胁行为者分发了这些网站的链接 通过在搜索引擎结果中突出显示的广告 当用户搜索任何这些软件产品时。
这家安全供应商表示,在 XNUMX 月下旬发生的一起事件中,一位 eSentire 客户访问了一个虚假的 LogMeIn 下载页面并下载了一个 Windows 安装程序,除其他外,该安装程序还对系统进行了分析,并使用该信息检索第二阶段的有效负载。
“BatLoader 之所以有趣,是因为它内置了逻辑,可以确定受害计算机是个人计算机还是公司计算机,”eSentire TRU 研究团队的研究和报告负责人 Keegan Keplinger 说。 “然后它会删除适合这种情况的恶意软件类型。”
选择性有效载荷交付
例如,如果 BatLoader 攻击个人计算机,它会下载 Ursnif 银行恶意软件和 Vidar 信息窃取程序。 如果它攻击加入域或公司的计算机,它会下载 Cobalt Strike 和 Syncro 远程监控和管理工具,以及银行木马和信息窃取程序。
“如果 BatLoader 登陆个人计算机,它将继续进行欺诈、信息窃取和基于银行的有效载荷,如 Ursnif,”Keegan 说。 “如果 BatLoader 检测到它处于组织环境中,它将继续使用 Cobalt Strike 和 Syncro 等入侵工具。”
Keegan 说 eSentire 观察到“很多”最近涉及 BatLoader 的网络攻击。 大多数攻击都是机会主义的,攻击任何寻找受信任和流行的免费软件工具的人。
“为了抢在组织面前,BatLoader 利用有毒广告,这样当员工寻找可信赖的免费软件(如 LogMeIn 和 Zoom)时,他们反而会登陆由攻击者控制的站点,从而提供 BatLoader。”
与 Conti、ZLoader 重叠
VMware Carbon Black 表示,虽然 BatLoader 活动有几个方面是独一无二的,但攻击链的几个属性也与 Conti勒索软件操作.
重叠包括 Conti 集团在利用 Log4j 漏洞的活动中使用的 IP 地址,以及 Conti 在之前的行动中使用过的名为 Atera 的远程管理工具。
BatLoader除了和Conti有相似之处,还有几处和Conti有重叠之处 Zloader,一种银行木马 该安全供应商表示,它似乎源自 2000 年代初期的 Zeus 银行木马。 其中最大的相似之处包括使用 SEO 中毒将受害者引诱到充满恶意软件的网站,使用 Windows Installer 建立初始立足点,以及在攻击链中使用 PowerShell、批处理脚本和其他本机操作系统二进制文件。
Mandiant 是第一个报告 BatLoader 的人。 在 XNUMX 月份的一篇博文中,这家安全供应商报告称观察到威胁行为者使用“免费生产力应用程序安装”和“免费软件开发工具安装”主题作为 SEO 关键字来引诱用户下载网站。
“最初的 BatLoader 妥协是 多阶段感染链的开始 这为攻击者提供了在目标组织内部的立足点,”Mandiant 说。 攻击者使用 PowerShell、Msiexec.exe 和 Mshta.exe 等工具,利用每个阶段来设置攻击链的下一阶段,以逃避检测。
