在过去的几个月里,一种危险的新型恶意软件加载程序开始迅速感染全球系统。
VMware Carbon Black 的研究人员正在跟踪这种被称为 BatLoader 的威胁,并表示其运营商正在使用植入程序在受害者系统上分发各种恶意软件,包括银行木马、信息窃取程序和 Cobalt Strike工具包。攻击者的策略是在受感染的 站上托管恶意软件,并使用搜索引擎优化 (SEO) 投毒的方法引诱用户访问这些 站。
BatLoader 依赖批处理和 PowerShell 脚本来在受害计算机上获得初始立足点并将其他恶意软件下载到该计算机上。VMware Carbon Black 托管检测和响应 (MDR) 团队的分析师在 11 月 14 日发布的一份 告中表示,这使得该活动难以检测和阻止,尤其是在早期阶段。
VMware 表示,其 Carbon Black MDR 团队在过去 90 天内观察到 43 次成功感染,此外还有许多其他不成功的尝试,其中受害者下载了初始感染文件但没有执行它。受害者中有 9 家是商业服务部门的组织,7 家是金融服务公司,5 家是制造业公司。其他受害者包括教育、零售、IT 和医疗保健行业的组织。
11 月 9 日,eSentire 表示,其威胁追踪团队观察到 BatLoader 的运营商将受害者引诱到伪装成流行商业软件(如 LogMeIn、Zoom、TeamViewer 和 AnyDesk)下载页面的 站。当用户搜索任何这些软件产品时,攻击者通过在搜索引擎结果中突出显示的广告分发指向这些 站的链接。
这家安全供应商表示,在 10 月下旬发生的一起事件中,一位 eSentire 客户访问了一个虚假的 LogMeIn 下载页面并下载了一个 Windows 安装程序,除其他外,该安装程序还对系统进行了分析,并使用该信息检索第二阶段的有效负载。
BatLoader内置逻辑,可以确定受害计算机是个人计算机还是公司计算机,根据目标属于选择更有效的攻击载荷。
如果 BatLoader 攻击个人计算机,它会下载 Ursnif 银行恶意软件和 Vidar 信息窃取程序。如果它攻击加入域或公司的计算机,它会下载 Cobalt Strike 和 Syncro 远程监控和管理工具,以及银行木马和信息窃取程序。
BatLoader 利用搜索引擎投毒传播,当员工寻找免费软件(如 LogMeIn 和 Zoom)时,他们会访问攻击者控制的站点,从而下载安装BatLoader。
VMware Carbon Black 表示,BatLoader 活动的攻击链攻击属性与Conti 勒索软件操作相似。重叠包括 Conti 集团在利用 Log4j 漏洞的活动中使用的 IP 地址,以及 Conti 在之前的行动中使用过的名为 Atera 的远程管理工具。
该安全供应商表示,除了与 Conti 的相似之处外,BatLoader 还与 Zloader 有几处重叠,Zloader 是一种银行木马,似乎源自 2000 年代初期的 Zeus 银行木马。其中最大的相似之处包括使用 SEO 中毒将受害者引诱到充满恶意软件的 站,使用 Windows Installer 建立初始立足点,以及在攻击链中使用 PowerShell、批处理脚本和其他本机操作系统二进制文件。
Mandiant 是第一个 告 BatLoader 的安全厂商。在 2 月份的一篇博客文章中,研究人员观察到一个攻击者使用“免费生产力应用程序安装”和“免费软件开发工具安装”主题作为 SEO 关键字来引诱用户下载 站。
最初的 BatLoader 妥协是多阶段感染链的开始,它为攻击者提供了在目标组织内部的立足点。攻击者使用 PowerShell、Msiexec.exe 和 Mshta.exe 等工具,利用每个阶段来设置攻击链的下一阶段,以逃避检测。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!