【安全资讯】新型RomCom变种“SnipBot”发布:攻击企业网络的高级恶意软件
概要:
Unit 42最近揭示了一种知名恶意软件家族RomCom的新变种,名为“SnipBot”。这种先进的恶意软件于2024年初首次发现,旨在渗透企业网络,执行远程命令并下载额外的恶意负载。专家认为这是一个更大攻击行动的一部分,目标包括IT服务、法律实体和农业等行业。主要内容:
SnipBot是RomCom恶意软件家族的最新迭代版本,其采用了新的代码混淆技术和先进的反检测策略。2024年4月,Unit 42检测到一个不寻常的DLL模块,后来被确认是SnipBot恶意软件工具包的一部分。研究人员重建了感染链和感染后的活动。SnipBot的初始感染通常通过包含伪装为合法PDF的可执行文件的网络钓鱼邮件传播。该恶意软件利用被盗或伪造的代码签名证书,确保初始负载看似合法,但后续模块未签名,增加了检测难度。它还采用了一些反沙箱技术,如进程名称验证和注册表键检查,使分析变得更加复杂。
成功感染目标系统后,SnipBot为攻击者提供了广泛的控制权限,包括执行命令、收集系统信息和外流数据。它还有能力下载更多的恶意负载,如SnippingTool.dll和svcnet.exe模块,为攻击者提供更多功能。Unit 42发现,攻击者试图从受害者网络中收集数据,包括域控制器信息。数据外流过程使用了像PuTTY和WinRAR这样的合法工具,经过伪装后用于恶意活动。
虽然RomCom历史上与勒索软件和敲诈活动有关,SnipBot的行为却表明它更倾向于情报收集和间谍活动。所选取的目标部门、负载和攻击者谨慎的后感染活动,暗示其重点在于数据外流,而非立即的金融利益。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享