幾年前首次出現(xiàn)的一個(gè)憑證竊取組織現(xiàn)在正在濫用Telegram作為C2服務(wù)器進(jìn)行網(wǎng)絡(luò)攻擊。研究人員報(bào)告說(shuō)，一系列的網(wǎng)絡(luò)犯罪分子會(huì)繼續(xù)通過(guò)使用這樣更有創(chuàng)造性的攻擊手段來(lái)擴(kuò)大其攻擊面。

根據(jù)Avast威脅實(shí)驗(yàn)室在本周發(fā)表的一篇博文，2019年4月份首次出現(xiàn)在網(wǎng)絡(luò)中的Raccoon Stealer已經(jīng)開(kāi)始在Telegram的基礎(chǔ)設(shè)施上存儲(chǔ)和更新自己的C2地址。研究人員說(shuō)，這讓他們?cè)谄脚_(tái)上有了一個(gè)更加方便和可靠的指揮中心，可以隨時(shí)更新C2的信息。

該惡意軟件據(jù)說(shuō)是由與俄羅斯有關(guān)的網(wǎng)絡(luò)犯罪分子開(kāi)發(fā)和維護(hù)的。其核心工具是一個(gè)憑證竊取器，但是該工具能夠進(jìn)行一系列的攻擊活動(dòng)。它不僅可以竊取密碼，還可以竊取cookie、瀏覽器中保存的登錄信息和表單的數(shù)據(jù)、電子郵件客戶端以及登錄憑證、加密錢(qián)包中的文件、瀏覽器插件和擴(kuò)展程序中的數(shù)據(jù)以及任意文件。這些都可以通過(guò)其C2命令完成。

Avast威脅實(shí)驗(yàn)室研究員Vladimir Martyanov在其帖子中寫(xiě)道，它能夠通過(guò)來(lái)自其C2的命令下載和執(zhí)行任意文件。這也就使得Raccoon Stealer變得更加危險(xiǎn)。

在2019年發(fā)布后，網(wǎng)絡(luò)犯罪分子迅速開(kāi)始采用該惡意軟件進(jìn)行攻擊，由于其用戶友好的惡意軟件即服務(wù)(MaaS)模式，給了他們一個(gè)更加快速和簡(jiǎn)單的方式--通過(guò)竊取敏感數(shù)據(jù)來(lái)賺錢(qián)。

創(chuàng)造性的傳播方式

早期，攻擊者通過(guò)黑客控制的Dropbox賬戶上托管的IMG文件，在針對(duì)金融機(jī)構(gòu)和其他組織的商業(yè)電子郵件破壞(BEC)活動(dòng)中提供Raccoon Stealer進(jìn)行攻擊。

Martyanov說(shuō)，最近，Avast威脅實(shí)驗(yàn)室的研究人員觀察到了攻擊者傳播Raccoon Stealer的一些更具有創(chuàng)造性的方式。并且他們的傳播技術(shù)繁雜多樣，只有你想不到的。

除了通過(guò)使用兩個(gè)加載器Buer Loader和Gcleaner進(jìn)行傳播外，攻擊者還可以通過(guò)偽造游戲作弊器、破解軟件的補(bǔ)丁，這其中還包括了Fortnite、Valorant和NBA2K22的MOD，或者是其他軟件來(lái)傳播Raccoon Stealer。

他補(bǔ)充說(shuō)，網(wǎng)絡(luò)犯罪分子還注意通過(guò)使用Themida或惡意軟件打包器來(lái)試圖逃避檢測(cè)，據(jù)觀察，一些攻擊樣本連續(xù)使用同一個(gè)打包器打包次數(shù)超過(guò)了五次。

在Telegram上濫用C2

該報(bào)告詳細(xì)介紹了最新版本的Raccoon Stealer是如何與Telegram內(nèi)的C2進(jìn)行通信的。根據(jù)該帖子，其C2通信有四個(gè)特征值，它們?cè)诿總€(gè)Raccoon Stealer樣本中都有硬編碼。它們分別是：

MAIN_KEY，該數(shù)值在這一年中已經(jīng)發(fā)生了四次改變。

Telegram gate的URL，其包含一個(gè)通道名稱。

BotID，一個(gè)十六進(jìn)制的字符串，每次都會(huì)被發(fā)送到C2。

TELEGRAM_KEY，一個(gè)用于解密從Telegram獲得的C2地址的密鑰。

為了劫持Telegram的C2，惡意軟件首先需要解密出MAIN_KEY值，它可以用來(lái)解密Telegram gate的URL和BotID。Martyanov寫(xiě)道，攻擊者然后會(huì)使用Telegram gate，通過(guò)一連串的操作，最終允許它使用Telegram基礎(chǔ)設(shè)施來(lái)存儲(chǔ)和更新實(shí)際的C2地址。

通過(guò)執(zhí)行C2的命令來(lái)下載和執(zhí)行任意文件，攻擊者還能夠分發(fā)惡意軟件。Avast威脅實(shí)驗(yàn)室收集了大約185個(gè)文件，總共大小為265兆字節(jié)，其中包括下載器、剪貼板加密竊取器和WhiteBlackCrypt勒索軟件，這些都是由Raccoon Stealer分發(fā)的。

避免針對(duì)俄羅斯的實(shí)體進(jìn)行攻擊

該惡意軟件一旦開(kāi)始執(zhí)行，Racoon Stealer就會(huì)開(kāi)始檢查被感染設(shè)備上設(shè)置的默認(rèn)用戶語(yǔ)言，如果是以下語(yǔ)言之一，就不會(huì)執(zhí)行任何操作。

俄羅斯、烏克蘭、白俄羅斯、哈薩克、吉爾吉斯、亞美尼亞、塔吉克或?yàn)跗潉e克。

因此研究人員認(rèn)為，這可能是因?yàn)殚_(kāi)發(fā)者本身就是俄羅斯人。

然而，Avast威脅實(shí)驗(yàn)室還發(fā)現(xiàn)，在最近我們所成功阻止的攻擊中，攻擊數(shù)量最多的國(guó)家是針對(duì)俄羅斯的。這很有趣，因?yàn)閻阂廛浖澈蟮墓粽卟幌敫腥径砹_斯或中亞地區(qū)的計(jì)算機(jī)。

他還指出，這可能是因?yàn)楣羰峭ㄟ^(guò)噴灑式的方式進(jìn)行傳播的，將惡意軟件傳播到了世界各地。惡意軟件在到達(dá)被感染的設(shè)備之前不會(huì)檢查用戶的位置。如果它發(fā)現(xiàn)設(shè)備位于開(kāi)發(fā)者不想攻擊的地區(qū)，它就不會(huì)運(yùn)行。

Martyanov寫(xiě)道，這也就解釋了為什么我們?cè)诙砹_斯檢測(cè)到了這么多的攻擊企圖，也就是說(shuō)，在它進(jìn)入檢查設(shè)備位置的階段之前，我們就可以將其進(jìn)行攔截。如果一個(gè)未受保護(hù)的設(shè)備在遇到惡意軟件時(shí)，其地域設(shè)置為英語(yǔ)或任何其他不在列表上的語(yǔ)言，它仍然會(huì)被感染。

本文翻譯自：https://threatpost.com/raccoon-stealer-telegram/178881/如若轉(zhuǎn)載，請(qǐng)注明原文地址。