SmokeLoader 恶意软件针对台湾制造业和 IT 行业

360影视 2024-12-03 17:07 4

摘要:Fortinet FortiGuard Labs在一份报告中表示: “SmokeLoader 以其多功能性和先进的规避技术而闻名,其模块化设计使其能够发起各种攻击。”

台湾制造业、医疗保健和信息技术领域的实体已成为 SmokeLoader 恶意软件活动的新目标。

Fortinet FortiGuard Labs在一份报告中表示: “SmokeLoader 以其多功能性和先进的规避技术而闻名,其模块化设计使其能够发起各种攻击。”

“虽然 SmokeLoader 主要用作传播其他恶意软件的下载器,但在这种情况下,它通过从其 [命令和控制] 服务器下载插件来自行发起攻击。”

SmokeLoader是一种恶意软件下载器,于 2011 年首次出现在网络犯罪论坛上,主要用于执行次级负载。此外,它还能够下载更多模块来增强其自身功能,以窃取数据、发起分布式拒绝服务 (DDoS) 攻击和挖掘加密货币。

Zscaler ThreatLabz 在对该恶意软件的分析指出: “SmokeLoader 会检测分析环境,生成虚假的网络流量,并混淆代码以逃避检测并阻碍分析。”

“该恶意软件家族的开发人员不断通过引入新功能和采用混淆技术来阻碍分析工作,从而增强其功能。”

在欧洲刑警组织牵头的“终局行动”之后, SmokeLoader 活动大幅减少,该行动于 2024 年 5 月下旬摧毁了与 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot 等多个恶意软件家族相关的基础设施。

多达 1,000 个与 SmokeLoader 关联的 C2 域已被拆除,超过 50,000 个感染已被远程清理。尽管如此,威胁组织仍在利用该恶意软件通过新的 C2 基础设施分发有效载荷。

执行流程

Zscaler认为,这主要是由于互联网上存在大量公开的SmokeLoader破解版本。

FortiGuard 实验室发现的最新攻击链的起点是一封包含 Microsoft Excel 附件的网络钓鱼电子邮件,该附件在启动时利用多年前存在的安全漏洞(例如CVE-2017-0199和CVE-2017-11882 )来投放名为Ande Loader的恶意软件加载器,然后该加载器用于在受感染的主机上部署 SmokeLoader。

钓鱼邮件

SmokeLoader 由两个组件组成:一个 stager 和一个主模块。stager 的目的是解密、解压缩并将主模块注入 explorer.exe 进程,而主模块则负责建立持久性、与 C2 基础设施通信以及处理命令。

该恶意软件支持多个插件,可以从网络浏览器、Outlook、Thunderbird、FileZilla 和 WinSCP 窃取登录和 FTP 凭据、电子邮件地址、cookie 和其他信息。

Fortinet 表示:“SmokeLoader 使用其插件执行攻击,而不是下载完成的文件进行最后阶段攻击。这显示了 SmokeLoader 的灵活性,并强调分析师在查看此类知名恶意软件时也需要小心谨慎。”

技术报告:

新闻链接:

来源:会杀毒的单反狗

相关推荐