研究人员发现了由该组织部署的“Whiffy Recon”恶意软件 SmokeLoader 僵尸网络,这是一个针对 Windows 系统的定制 Wi-Fi 扫描可执行文件,用于跟踪受害者的物理位置。
Whiffy Recon 的名字来源于许多欧洲国家和俄罗斯使用的 Wi-Fi 的发音(“wiffy”而不是美国的“why fie”)。 据介绍,它会在受损系统上寻找 Wi-Fi 卡或加密狗,然后每 60 秒扫描一次附近的 Wi-Fi 接入点 (AP) Secureworks 反威胁部门本周发布的一份报告.
然后,它通过将美联社数据输入谷歌的地理定位 API 来对受感染系统的位置进行三角测量,然后将位置数据发送回未知的对手。
用于后续攻击的地理位置数据
Secureworks 反威胁部门威胁研究总监 Rafe Pilling 表示,虽然 AP 扫描间隔为 60 秒,但尚不清楚每个位置是否已被存储,或者是否只是传输的最新位置。
“一名工人可能携带一台装有 Whiffy Recon 的笔记本电脑 可以映射 往返于家庭和工作地点之间,”他说。
GuidePoint 安全研究和情报团队 (GRIT) 的首席分析师德鲁·施密特 (Drew Schmitt) 表示,对个人活动的洞察可能会建立行为或位置模式,从而实现更具体的目标定位。
“它可以用来追踪属于特定组织、政府或其他实体的个人,”他说。 “当受感染的系统物理位于敏感位置或特定时间时,攻击者可以有选择地部署恶意软件,这将使他们获得较高的操作成功概率和较高的影响力。”
Tanium 技术客户管理高级总监 Shawn Surber 指出,该报告并未指定特定行业或部门作为主要目标,但他补充道,“此类数据对于间谍、监视或物理目标可能很有价值。”
他补充说,这可能表明从事长期网络间谍活动的国家资助或国家附属实体是该活动的幕后黑手。 例如, 伊朗的APT35在最近的一次战役中进行了位置侦察 据当时的研究人员称,以色列媒体目标可能是为了潜在的物理攻击。
他解释说:“一些 APT 组织因其在间谍活动、监视和物理目标方面的利益而闻名,这些活动通常受其所代表国家的政治、经济或军事目标的驱动。”
SmokeLoader:归因烟幕
感染例程从携带恶意 zip 存档的社会工程电子邮件开始。 事实证明,这是一个多语言文件,其中包含诱饵文档和 JavaScript 文件。
然后,JavaScript 代码用于执行 SmokeLoader 恶意软件,该恶意软件除了将恶意软件投放到受感染的计算机上之外,还使用命令和控制 (C2) 注册端点 服务器 并将其添加为 SmokeLoader 僵尸网络中的节点。
因此,SmokeLoader 感染是持续存在的,并且可能潜伏在不知情的端点上,直到某个组织拥有他们想要部署的恶意软件为止。 各种威胁参与者购买僵尸网络的访问权限,因此相同的 SmokeLoader 感染可以用于各种活动。
“我们经常观察到多个恶意软件菌株被传递给单个 SmokeLoader 感染,”Pilling 解释道。 “SmokeLoader 是不分青红皂白的,传统上是由出于经济动机的网络犯罪分子使用和运营的。”
施密特指出,鉴于其即服务的性质,很难判断任何给定的最终背后是谁 使用 SmokeLoader 作为初始访问工具的网络活动.
“根据加载程序的不同,可能有多达 10 或 20 个不同的有效负载可以选择性地传递到受感染的系统,其中一些与勒索软件和电子犯罪攻击有关,而另一些则有不同的动机,”他说。
由于 SmokeLoader 感染是不加区别的,因此使用 Whiffy Recon 收集地理位置数据可能是为了缩小和定义更多手术后续活动的目标。
“随着这一攻击序列的继续展开,”施密特说,“看看 Whiffy Recon 如何被用作更大的后利用链的一部分将会很有趣。”
- SEO 支持的内容和 PR 分发。 今天得到放大。
- PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
- 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
- 柏拉图ESG。 汽车/电动汽车, 碳, 清洁科技, 能源, 环境, 太阳能, 废物管理。 访问这里。
- 柏拉图健康。 生物技术和临床试验情报。 访问这里。
- 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
- 块偏移量。 现代化环境抵消所有权。 访问这里。
- Sumber: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :具有
- :是
- :不是
- $UP
- 10
- 20
- 60
- a
- ACCESS
- 根据
- 账号管理
- 帐户管理
- 活动
- 演员
- 增加
- 添加
- 让
- 美国人
- an
- 分析人士
- 和
- 任何
- API
- APT
- 档案
- 保健
- 排列
- AS
- At
- 攻击
- 攻击
- 背部
- BE
- 背后
- 作为
- 之间
- 都
- 僵尸网络
- 商业
- 但是
- 购买
- by
- 营销活动
- 活动
- CAN
- 牌
- 进行
- 携带
- 携带
- 链
- 码
- 相当常见
- 妥协
- 继续
- 可以
- Counter
- 国家
- 定制
- 网络罪犯
- data
- 定义
- 提升
- 根据
- 部署
- 部署
- 设备
- 不同
- 副总经理
- 文件
- 不
- 驱动
- 删除
- 每
- 经济
- 努力
- 电子邮件
- 端点
- 端点
- 从事
- 工程师
- 实体
- 实体
- 间谍
- 建立
- 醚(ETH)
- 欧洲
- 欧洲国家
- 所有的
- 执行
- 介绍
- 喂养
- 文件
- 经济
- 针对
- 止
- 收集
- 给
- 特定
- 谷歌
- 政府
- 团队
- 组的
- 硬
- 有
- he
- 高
- 主页
- 创新中心
- HTTPS
- if
- 影响力故事
- in
- 表明
- 个人
- 行业中的应用:
- 感染
- 併发感染
- 初始
- 可行的洞见
- 例
- 代替
- 房源搜索
- 有趣
- 利益
- 成
- 以色列
- IT
- 它的
- JavaScript的
- JPG
- 只是
- 已知
- 笔记本电脑
- 大
- 铅
- 装载机
- 位于
- 圖書分館的位置
- 地点
- 机
- 恶意软件
- 颠覆性技术
- 许多
- 可能..
- 媒体
- 军工
- 更多
- 最先进的
- 动机
- 动机
- 运动
- 多
- 姓名
- 联合国
- 自然
- 节点
- 目标
- 观察
- 发生
- of
- 经常
- on
- 操作
- 操作
- or
- 组织
- 其他名称
- 其它
- 输出
- 部分
- 特别
- 模式
- 的
- 物理
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 政治
- 位置
- 可能
- 或者
- 潜力
- 小学
- 可能性
- 勒索
- 最近
- 寄存器
- 有关
- 报告
- 代表
- 研究
- 研究人员
- 导致
- 俄罗斯
- s
- 同
- 说
- 扫描
- 扫描
- 秒
- 扇形
- 保安
- 看到
- 寻求
- 发送
- 前辈
- 敏感
- 序列
- 服务
- 几个
- 单
- So
- 社会
- 社会工程学
- 一些
- 具体的
- 启动
- 存储
- 株
- 成功
- 这样
- 外科
- 监控
- 系统
- 产品
- 需要
- 目标
- 瞄准
- 目标
- 团队
- 文案
- 展示
- 这
- 其
- 他们
- 然后
- 那里。
- 他们
- Free Introduction
- 本星期
- 威胁
- 威胁者
- 次
- 时
- 至
- 跟踪
- 传统
- 旅游
- 原来
- 最终
- 裸露
- 单元
- 不明
- 直到
- 未使用
- us
- 使用
- 用过的
- 使用
- 有价值
- 各个
- 受害者
- 想
- 周
- ,尤其是
- 是否
- 这
- 而
- WHO
- 为什么
- 无线网络连接
- 宽
- 将
- 窗户
- 中
- 工人
- 将
- 会给
- 和风网
- 压缩