黑客社区被网络犯罪分子在新的特洛伊木马竞选
被警告的黑客社区警告网络犯罪分子将流行的黑客工具转化为传播远程访问特洛伊木马(大鼠)的手段,以威胁研究人员在Cybereason的Nocturnus实验室发现的新发现的竞选活动中。
该活动利用了众所周知和广泛使用的NJRAT特洛伊木马 - 这也被称为Bladabindi - 由中东威胁群体于七年到八年前的中东威胁群体开发。如果打开,NJRAT接管受害者的机器,可用于提取系统信息,执行和操作文件,打开远程shell以让攻击者使用命令行,从相机或麦克风,日志击键和窃取存储的密码记录,以及窃取存储的密码事物。
Cyber Arch表示,新的广告系列通过将其注入可下载的黑客工具和其他安装人员来传播NJRAT。这些工具正在各种地下论坛和网站上发布,以诱饵将其他黑客陷入“受害者”到NJRAT。
该公司认为,该活动一直在运行相当长的时间,似乎是所谓的“恶意软件工厂”的产品,它几乎每天都在使用某种程度地搅拌各种受损工具的新迭代自动化。
“这项调查近1,000个NJRAT样品,几乎每天都在编制和建立。如果目前,我们无法确切地知道许多唯一的杀戮是安全的,虽然我们无法确切地知道多少,但是在披露博客中,Cyber ay Serper表示,我们无法确切地知道许多活动。
“这个广告系列最终赋予威胁演员可以完全访问目标机器,因此他们可以将其用于攻击窃取机器的敏感数据。”
该活动构成了超越黑客社区的范围的威胁,因为如果受害黑客已经访问了您的系统,那么黑客攻击他们的黑客也会访问您的系统。
在竞选活动中,NJRAT伪装成具有合法的Windows流程,被发现连接到两个IP地址,一个属于合法印度笔制造商的受损的WordPress网站之一,另一个位于土耳其的MINECRAFT网站,自2018年底以来已于2018年底在越南辛勤登记,越南可能与该活动相关联。
“很明显这个广告系列背后的威胁演员正在使用多个服务器,其中一些似乎是被黑客印刷的博客,”Serper说。“其他人似乎是威胁小组拥有的基础设施。”
Cyber Alion发现与土耳其语 - 越南网站相关的所有NJRAT样本都是针对渗透测试和黑客工具,尽管该活动绝不是针对黑客社区的旨在实现的 - 它似乎也是针对Chrome安装程序,原生Windows应用程序和一些与黑客或渗透测试无关的其他程序。
“此刻,我们无法确定其他受害者,这种恶意软件活动是针对的,除了特洛克明的黑客工具的目标之外,Serper表示,他继续监督竞选活动。
Cybereason已发表冗长的妥协指标列表(IOC),可以从其网站下载。