黑客利用知名网站网址散布恶意软件 在URL中混淆二进制指令
黑客利用知名网站网址散布恶意软件在URL中混淆二进制指令安全分析公司Mandiant最近发现了一个"前所未见"的攻击链,该攻击链至少在两个不同的网站上使用Base64编码来传输三阶段恶意软件的第二阶段有效载荷。这两个网站分别是科技网站ArsTechnica和视频托管网站Vimeo。一位用户在ArsTechnica论坛上发布了一张披萨的图片,并配文"我喜欢披萨"。图片或文字本身没有任何问题。然而,这张照片是由第三方网站托管的,其URL包含Base64字符串。Base64转换为ASCII后看起来像随机字符,但在这种情况下,它混淆了下载和安装恶意软件包第二阶段的二进制指令。在另一个案例中,一个相同的字符串出现在Vimeo上一个无害视频的描述中。ArsTechnica发言人说,在一位匿名用户向该网站举报图片(下图)的奇怪链接后,ArsTechnica删除了这个去年11月创建的账户。Mandiant说,它已确定该代码属于一个名为UNC4990的威胁行为者,自2020年以来,它一直在跟踪该行为者。对于大多数用户来说,这些指令没有任何作用。它只能在已经包含第一阶段恶意软件(explorer.ps1)的设备上运行。UNC4990通过受感染的闪存盘传播第一阶段,这些闪存盘被配置为链接到托管在GitHub和GitLab上的文件。第二阶段被称为"空空间",是一个在浏览器和文本编辑器中显示为空白的文本文件。然而,用十六进制编辑器打开它,就会看到一个二进制文件,该文件使用空格、制表符和新行等巧妙的编码方案来创建可执行的二进制代码。Mandiant承认以前从未见过这种技术。Mandiant的研究员YashGupta表示:"这是我们看到的一种不同的、新颖的滥用方式,很难被发现。是我们在恶意软件中通常见不到的。这对我们来说非常有趣,也是我们想要指出的。"执行后,Emptyspace会不断轮询命令和控制服务器,并根据命令下载一个名为"Quietboard"的后门。UNC4990利用该后门在受感染的机器上安装加密货币矿机。不过,Mandiant表示,它只追踪到一个安装Quietboard的实例。鉴于Quietboard的罕见性,UNC4990的攻击造成的威胁微乎其微。但是,explorer.ps1和Emptyspace的感染率可能会更高,从而使用户易受攻击。Mandiant在其博客中解释了如何检测感染。...PC版:https://www.cnbeta.com.tw/articles/soft/1415489.htm手机版:https://m.cnbeta.com.tw/view/1415489.htm
