网络安全研究人员发现了臭名昭著的 DarkGate 远程访问木马 (RAT) 与 Ducktail 信息窃取者背后的越南金融网络犯罪活动之间的联系。
WithSecure 的研究人员 发现 Ducktail 在 2022 年的活动在检测到针对英国、美国和印度组织的多次感染企图后,开始对 DarkGate 进行调查。
“很快就发现,诱饵文件和目标与最近的 Ducktail 信息窃取者活动非常相似,并且可以通过 DarkGate 活动的开源数据转向多个其他信息窃取者,这些信息很可能被同一参与者/组织使用”,报告指出。
DarkGate 与 Ducktail 的联系
暗门是 后门恶意软件 能够进行各种恶意活动,包括信息窃取、加密劫持以及使用 Skype、Teams 和 Messages 分发恶意软件。
该恶意软件可以从受感染的设备窃取各种数据,包括用户名、密码、信用卡号和其他敏感信息,并在用户不知情或同意的情况下用于在受感染的设备上挖掘加密货币。
它可用于向受感染的设备发送勒索软件,加密用户的文件并要求支付赎金才能解密它们。
WithSecure 高级威胁情报分析师 Stephen Robinson 解释说,从总体上看,DarkGate 恶意软件的功能自 2018 年首次报告以来没有变化。
“它一直是一把瑞士军刀、多功能恶意软件,”他说。 “话虽如此,此后作者对其进行了多次更新和修改,我们可以认为这是为了改进这些恶意功能的实现,并跟上 AV/恶意软件检测军备竞赛的步伐。”
他指出,DarkGate 活动(及其背后的参与者)可以通过他们的目标对象、他们使用的诱饵和感染媒介以及他们对目标的行动来区分。
“该报告重点关注的特定越南集群使用相同的目标、文件名,甚至使用多种恶意软件进行多个活动的诱饵文件,”罗宾逊说。
他们使用在线服务创建 PDF 诱饵文件,该服务将自己的元数据添加到创建的每个文件中;该元数据在不同的活动之间提供了更紧密的联系。
他们还在同一设备上创建了多个恶意 LNK 文件,并且没有擦除元数据,从而使进一步的活动能够聚集起来。
DarkGate 和 Ducktail 之间的相关性是根据非技术标记确定的,例如诱饵文件、目标模式和交付方法,并整理在 15 页中 报告.
“诱饵文件和元数据等非技术指标是非常有影响力的取证线索。 Critical Start 网络威胁研究高级经理 Callie Guenther 解释说:“诱饵文件充当诱饵,诱使受害者执行恶意软件,为了解攻击者的作案手法、潜在目标以及不断发展的技术提供了宝贵的见解。”
同样,元数据(例如“LNK 驱动器 ID”等信息或来自 Canva 等服务的详细信息)可以留下可识别的痕迹或模式,这些痕迹或模式可能会在不同的攻击或特定参与者中持续存在。
“经过分析,这些一致的模式可以弥合不同活动之间的差距,使研究人员能够将它们归因于共同的犯罪者,即使恶意软件的技术足迹不同,”她说。
Menlo Security 的网络安全专家 Ngoc Bui 表示,了解与同一威胁行为者相关的不同恶意软件家族之间的关系至关重要。
“它有助于建立更全面的威胁概况并识别这些威胁行为者的策略和动机,”Bui 说。
例如,如果研究人员发现 DarkGate、Ducktail、Lobshot 和 Redline Stealer 之间的联系,他们可能能够得出结论,单个参与者或团体参与了多个活动,这表明其复杂程度很高。
Bui 补充道:“这还可以帮助分析师确定是否有多个威胁组织正在合作,就像我们在勒索软件活动和活动中看到的那样。”
MaaS 影响网络威胁格局
Bui 指出,DarkGate 作为一项服务的可用性对网络安全格局具有重大影响。
“它降低了可能缺乏技术专业知识的有抱负的网络犯罪分子的进入门槛,”Bui 解释道。 “因此,更多的个人或团体可以访问和部署 DarkGate 等复杂的恶意软件,从而提高整体威胁级别。”
Bui 补充道,恶意软件即服务 (MaaS) 产品为网络犯罪分子提供了一种便捷且经济高效的攻击手段。
对于网络安全分析师来说,这构成了挑战,因为他们必须不断适应新的威胁,并考虑多个威胁行为者使用相同恶意软件服务的可能性。
它还可能使跟踪使用恶意软件的威胁行为者变得更加困难,因为恶意软件本身可能会聚集到开发人员,而不是使用恶意软件的威胁行为者。
国防范式转变
Guenther 表示,为了更好地理解现代、不断发展的网络威胁形势,防御策略的范式转变早就该发生了。
“采用基于行为的检测序列,以及利用人工智能和机器学习,可以识别异常网络行为,超越了以前基于签名的方法的局限性,”她说。
此外,汇集威胁情报并促进跨行业垂直领域的紧急威胁和策略的沟通可以促进早期检测和缓解。
“定期审核,包括网络配置和渗透测试,可以先发制人地发现漏洞,”Guenther 补充道。 “此外,一支消息灵通、接受过识别当代威胁和网络钓鱼媒介培训的员工队伍将成为组织的第一道防线,从而大幅降低风险商。”
- :具有
- :是
- :不是
- $UP
- 2018
- 7
- a
- Able
- 关于
- ACCESS
- 横过
- 法案
- 行动
- 活动
- 活动
- 演员
- 适应
- 添加
- 后
- 驳
- AI
- 允许
- 还
- 时刻
- an
- 分析人士
- 分析师
- 分析
- 和
- 明显的
- 保健
- 武器
- AS
- 有志
- 承担
- At
- 攻击
- 尝试
- 审计
- 作者
- 可用性
- 背部
- 饵
- 屏障
- BE
- 成为
- 因为
- 成为
- 很
- 行为
- 背后
- 作为
- 更好
- 之间
- 桥
- 建筑物
- by
- 营销活动
- 活动
- CAN
- 能力
- 卡
- 催化
- 挑战
- 变
- 簇
- 相当常见
- 沟通
- 理解
- 全面
- 总结
- 进行
- 地都
- 连接
- 同意
- 考虑
- 一贯
- 现代的
- 不断
- 便捷
- 相关
- 经济有效
- 创建
- 信用
- 信用卡
- 危急
- cryptocurrency
- Cryptojacking
- 网络
- 网络犯罪
- 网络罪犯
- 网络安全
- data
- 解码
- 国防
- 交付
- 交货
- 严格
- 部署
- 详情
- 检测
- 确定
- 决心
- 开发商
- 设备
- 设备
- DID
- 不同
- 分化
- 难
- 分发
- 文件
- 驾驶
- 每
- 早
- 工作的影响。
- 拥抱
- 使
- 包含
- 条目
- 必要
- 甚至
- 演变
- 例子
- 执行
- 技术专家
- 专门知识
- 介绍
- 家庭
- 文件
- 档
- 金融
- 找到最适合您的地方
- 姓氏:
- 重点
- Footprint
- 针对
- 法医
- 培养
- 止
- 功能
- 功能
- 进一步
- 差距
- 给
- 团队
- 组的
- 有
- he
- 帮助
- 帮助
- 高
- 高度
- HTTPS
- ID
- 鉴定
- 确定
- if
- 有影响力的
- 影响
- 履行
- 启示
- 改善
- in
- 包含
- 增加
- 印度
- 指标
- 个人
- 行业中的应用:
- 信息
- 初始
- 可行的洞见
- 房源搜索
- 成
- 无价
- 调查
- 参与
- IT
- 它的
- 本身
- JPG
- 保持
- 知识
- 缺乏
- 景观
- 离开
- Level
- 借力
- 喜欢
- 容易
- 限制
- Line
- 链接
- 链接
- 小
- 使
- 恶意软件
- 恶意软件即服务 (MaaS)
- 经理
- 可能..
- 手段
- 条未读消息
- 元数据
- 方法
- 可能
- 减轻
- ML
- 现代
- 改性
- 作案
- 更多
- 此外
- 动机
- 多
- 必须
- 名称
- 网络
- 全新
- 注意到
- 臭名昭著
- 数字
- of
- 提供
- 供品
- on
- 一
- 在线
- 打开
- 开放源码
- 操作
- or
- 组织
- 组织
- 其他名称
- 输出
- 最划算
- 己
- 范例
- 密码
- 模式
- 付款
- 渗透
- 钓鱼
- 枢
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 构成
- 可能性
- 可能
- 潜力
- 以前
- 本人简介
- 提供
- 种族
- 范围
- 赎金
- 勒索
- 急速
- RAT
- 最近
- 认识
- 减少
- 定期
- 关系
- 远程
- 通过远程访问
- 反复
- 报告
- 报告
- 研究
- 研究人员
- 导致
- 风险
- s
- 说
- 同
- 说
- 保安
- 看到
- 前辈
- 敏感
- 服务
- 特色服务
- 她
- 转移
- 显著
- 类似
- 自
- 单
- Skype
- 极致
- 极致
- 来源
- 具体的
- 开始
- 开始
- 斯蒂芬·
- 株
- 策略
- 强烈
- 基本上
- 这样
- 提示
- 超越
- 策略
- 目标
- 瞄准
- 目标
- 队
- 文案
- 技术
- 测试
- 比
- 这
- 英国
- 其
- 他们
- 然后
- 博曼
- 他们
- Free Introduction
- 那些
- 威胁
- 威胁者
- 威胁
- 通过
- 领带
- 至
- 一起
- 跟踪
- 熟练
- 木马
- Uk
- 裸露
- 理解
- 更新
- us
- 用过的
- 用户
- 运用
- 各种
- 垂直
- 非常
- 受害者
- 越南
- 漏洞
- 是
- we
- 井
- 为
- ,尤其是
- 这
- WHO
- 宽
- 大范围
- 擦拭
- 也完全不需要
- 劳动力
- 加工
- 和风网