2022年03月25日
幾年前首次出現的一個憑證竊取組織現在正在濫用Telegram作為C2服務器進行網絡攻擊。研究人員報告說,一系列的網絡犯罪分子會繼續通過使用這樣更有創造性的攻擊手段來擴大其攻擊面。
根據Avast威脅實驗室在本周發表的一篇博文,2019年4月份首次出現在網絡中的Raccoon Stealer已經開始在Telegram的基礎設施上存儲和更新自己的C2地址。研究人員說,這讓他們在平臺上有了一個更加方便和可靠的指揮中心,可以隨時更新C2的信息。
該惡意軟件據說是由與俄羅斯有關的網絡犯罪分子開發和維護的。其核心工具是一個憑證竊取器,但是該工具能夠進行一系列的攻擊活動。它不僅可以竊取密碼,還可以竊取cookie、瀏覽器中保存的登錄信息和表單的數據、電子郵件客戶端以及登錄憑證、加密錢包中的文件、瀏覽器插件和擴展程序中的數據以及任意文件。這些都可以通過其C2命令完成。
Avast威脅實驗室研究員Vladimir Martyanov在其帖子中寫道,它能夠通過來自其C2的命令下載和執行任意文件。這也就使得Raccoon Stealer變得更加危險。
在2019年發布后,網絡犯罪分子迅速開始采用該惡意軟件進行攻擊,由于其用戶友好的惡意軟件即服務(MaaS)模式,給了他們一個更加快速和簡單的方式--通過竊取敏感數據來賺錢。
早期,攻擊者通過黑客控制的Dropbox賬戶上托管的IMG文件,在針對金融機構和其他組織的商業電子郵件破壞(BEC)活動中提供Raccoon Stealer進行攻擊。
Martyanov說,最近,Avast威脅實驗室的研究人員觀察到了攻擊者傳播Raccoon Stealer的一些更具有創造性的方式。并且他們的傳播技術繁雜多樣,只有你想不到的。
除了通過使用兩個加載器Buer Loader和Gcleaner進行傳播外,攻擊者還可以通過偽造游戲作弊器、破解軟件的補丁,這其中還包括了Fortnite、Valorant和NBA2K22的MOD,或者是其他軟件來傳播Raccoon Stealer。
他補充說,網絡犯罪分子還注意通過使用Themida或惡意軟件打包器來試圖逃避檢測,據觀察,一些攻擊樣本連續使用同一個打包器打包次數超過了五次。
該報告詳細介紹了最新版本的Raccoon Stealer是如何與Telegram內的C2進行通信的。根據該帖子,其C2通信有四個特征值,它們在每個Raccoon Stealer樣本中都有硬編碼。它們分別是:
MAIN_KEY,該數值在這一年中已經發生了四次改變。
Telegram gate的URL,其包含一個通道名稱。
BotID,一個十六進制的字符串,每次都會被發送到C2。
TELEGRAM_KEY,一個用于解密從Telegram獲得的C2地址的密鑰。
為了劫持Telegram的C2,惡意軟件首先需要解密出MAIN_KEY值,它可以用來解密Telegram gate的URL和BotID。Martyanov寫道,攻擊者然后會使用Telegram gate,通過一連串的操作,最終允許它使用Telegram基礎設施來存儲和更新實際的C2地址。
通過執行C2的命令來下載和執行任意文件,攻擊者還能夠分發惡意軟件。Avast威脅實驗室收集了大約185個文件,總共大小為265兆字節,其中包括下載器、剪貼板加密竊取器和WhiteBlackCrypt勒索軟件,這些都是由Raccoon Stealer分發的。
該惡意軟件一旦開始執行,Racoon Stealer就會開始檢查被感染設備上設置的默認用戶語言,如果是以下語言之一,就不會執行任何操作。
俄羅斯、烏克蘭、白俄羅斯、哈薩克、吉爾吉斯、亞美尼亞、塔吉克或烏茲別克。
因此研究人員認為,這可能是因為開發者本身就是俄羅斯人。
然而,Avast威脅實驗室還發現,在最近我們所成功阻止的攻擊中,攻擊數量最多的國家是針對俄羅斯的。這很有趣,因為惡意軟件背后的攻擊者不想感染俄羅斯或中亞地區的計算機。
他還指出,這可能是因為攻擊是通過噴灑式的方式進行傳播的,將惡意軟件傳播到了世界各地。惡意軟件在到達被感染的設備之前不會檢查用戶的位置。如果它發現設備位于開發者不想攻擊的地區,它就不會運行。
Martyanov寫道,這也就解釋了為什么我們在俄羅斯檢測到了這么多的攻擊企圖,也就是說,在它進入檢查設備位置的階段之前,我們就可以將其進行攔截。如果一個未受保護的設備在遇到惡意軟件時,其地域設置為英語或任何其他不在列表上的語言,它仍然會被感染。