黑客组织滥用Telegram进行入侵
发布时间:2022-06-22 14:35:02 所属栏目:安全 来源:互联网
导读:几年前首次出现的一个凭证窃取组织现在正在滥用Telegram作为C2服务器进行网络攻击。研究人员报告说,一系列的网络犯罪分子会继续通过使用这样更有创造性的攻击手段来扩大其攻击面。 根据Avast威胁实验室在本周发表的一篇博文,2019年4月份首次出现在网络中的
|
几年前首次出现的一个凭证窃取组织现在正在滥用Telegram作为C2服务器进行网络攻击。研究人员报告说,一系列的网络犯罪分子会继续通过使用这样更有创造性的攻击手段来扩大其攻击面。 根据Avast威胁实验室在本周发表的一篇博文,2019年4月份首次出现在网络中的Raccoon Stealer已经开始在Telegram的基础设施上存储和更新自己的C2地址。研究人员说,这让他们在平台上有了一个更加方便和可靠的指挥中心,可以随时更新C2的信息。 创造性的传播方式 早期,攻击者通过黑客控制的Dropbox账户上托管的IMG文件,在针对金融机构和其他组织的商业电子邮件破坏(BEC)活动中提供Raccoon Stealer进行攻击。 Martyanov说,最近,Avast威胁实验室的研究人员观察到了攻击者传播Raccoon Stealer的一些更具有创造性的方式。并且他们的传播技术繁杂多样,只有你想不到的。 在Telegram上滥用C2 该报告详细介绍了最新版本的Raccoon Stealer是如何与Telegram内的C2进行通信的。根据该帖子,其C2通信有四个特征值,它们在每个Raccoon Stealer样本中都有硬编码。它们分别是: MAIN_KEY,该数值在这一年中已经发生了四次改变。 Telegram gate的URL,其包含一个通道名称。 BotID,一个十六进制的字符串,每次都会被发送到C2。 TELEGRAM_KEY,一个用于解密从Telegram获得的C2地址的密钥。 为了劫持Telegram的C2,恶意软件首先需要解密出MAIN_KEY值,它可以用来解密Telegram gate的URL和BotID。Martyanov写道,攻击者然后会使用Telegram gate,通过一连串的操作,最终允许它使用Telegram基础设施来存储和更新实际的C2地址。 俄罗斯、乌克兰、白俄罗斯、哈萨克、吉尔吉斯、亚美尼亚、塔吉克或乌兹别克。 因此研究人员认为,这可能是因为开发者本身就是俄罗斯人。 然而,Avast威胁实验室还发现,在最近我们所成功阻止的攻击中,攻击数量最多的国家是针对俄罗斯的。这很有趣,因为恶意软件背后的攻击者不想感染俄罗斯或中亚地区的计算机。 他还指出,这可能是因为攻击是通过喷洒式的方式进行传播的,将恶意软件传播到了世界各地。恶意软件在到达被感染的设备之前不会检查用户的位置。如果它发现设备位于开发者不想攻击的地区,它就不会运行。 Martyanov写道,这也就解释了为什么我们在俄罗斯检测到了这么多的攻击企图,也就是说,在它进入检查设备位置的阶段之前,我们就可以将其进行拦截。如果一个未受保护的设备在遇到恶意软件时,其地域设置为英语或任何其他不在列表上的语言,它仍然会被感染。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号