一种名为“CMoon”的新型自我传播蠕虫自 2024 年 7 月初以来通过一家受到感染的天然气供应公司网站在俄罗斯传播,该蠕虫能够窃取账户凭证和其他数据。
据发现该活动的卡巴斯基研究人员称,CMoon 可以执行多种功能,包括加载额外的有效载荷、截取屏幕截图以及发起分布式拒绝服务 (DDoS) 攻击。
从攻击者使用的分发渠道来看,他们的目标范围集中在高价值目标而不是随机的互联网用户,这表明他们的行动非常复杂。
感染链始于用户点击一家为俄罗斯城市提供天然气供应的公司网站上的监管文件(docx、.xlsx、.rtf 和 .pdf)链接时。
攻击者将文档链接替换为恶意可执行文件的链接,这些恶意可执行文件也托管在网站上,并作为自解压档案传递给受害者,其中包含原始文档和 CMoon 负载(以原始链接命名)。
卡巴斯基报告称:“我们还没有发现这种恶意软件的其他传播媒介,因此我们认为此次攻击仅针对特定网站的访问者。”
在该天然气公司收到此入侵通知后,恶意文件和链接于 2024 年 7 月 25 日从其网站上删除。
由于 CMoon 的自我传播机制,感染仍在继续自主进行。
CMoon 是一种 .NET 蠕虫,它会将自身复制到一个新创建的文件夹中,该文件夹以其在受感染设备上检测到的防病毒软件命名;如果未检测到 AV,则复制到一个类似于系统文件夹的文件夹中。
该蠕虫在 Windows 启动目录上创建快捷方式,以确保它在系统启动时运行,从而确保重新启动之间的持久性。
为了避免在手动用户检查时引起怀疑,它将文件的创建和修改日期更改为 2013 年 5 月 22 日。
该蠕虫会监视新连接的 USB 驱动器,当任何 USB 驱动器连接到受感染的机器时,它会用其可执行文件的快捷方式替换除“LNK”和“EXE”之外的所有文件。
CMoon 还会查找 USB 驱动器上存储的有趣文件,并将它们临时存储在隐藏目录(“.intelligence”和“.usb”)中,然后将它们泄露到攻击者的服务器。
CMoon 具有标准的信息窃取功能,目标是加密货币钱包、存储在网络浏览器、通讯应用程序、FTP 和 SSH 客户端中的数据以及 USB 或用户文件夹中包含文本字符串“秘密”、“服务”或“密码”的文档文件。
一个有趣且有些不寻常的功能是针对可能包含帐户凭据的文件,例如.pfx、.p12、.kdb、.kdbx、.lastpass、.psafe3、.pem、.key、.private、.asc、.gpg、.ovpn 和 .log 文件。
该恶意软件还可以下载并执行其他有效负载、捕获受感染设备的屏幕截图并对指定目标发起 DDoS 攻击。
被盗文件和系统信息被打包并发送到外部服务器,在那里进行解密(RC4)并使用 MD5 哈希验证其完整性。
卡巴斯基表示,在其当前可见范围之外还有更多网站分发 CMoon,蠕虫病毒能够自主传播意味着它可能会进入非预期系统并为机会性攻击创造条件。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/H1YEJmnkrLXOjPOhVHZcmg
暂无评论内容