用新的IOCs列表增强对Kwampirs RAT恶意软件的安全防御

2020-03-28 16:31:09    来源:新经网    作者:安晓星

inglabs分析了来自Kwampirs远程访问木马(RAT)的攻击线索,以帮助软件公司抵御这种恶意软件。

该安全公司在《解密Kwampirs RAT:从威胁狩猎到威胁情报》中指出,组织必须保护他们的软件开发环境,并确保他们的供应商不受损害。首席软件架构师和托米斯拉夫•Peričin ReversingLabs创始人之一,写的分析。

用新的IOCs列表增强对Kwampirs RAT恶意软件的安全防御

这家安全公司利用网络配置中留下的“面包屑”来记录恶意软件网络基础设施,这些网络基础设施支持了橙色蠕虫组织实施的攻击。赛门铁克在2018年首次确定了黑客及其首选武器。同年,赛门铁克还报告说,在许多医院系统中发现了Kwampirs恶意软件,包括x光机和核磁共振成像机,以及患者用来填写同意书的设备。

美国联邦调查局(FBI)最近警告称,雇佣Kwampirs的攻击现在已经演变为针对工业控制系统(ICS)领域的公司,尤其是能源领域的公司。

用新的IOCs列表增强对Kwampirs RAT恶意软件的安全防御

据ZDNet 2月初报道,美国联邦调查局在一份私人行业通知中表示:“据信,软件供应链公司是为了获取受害者的战略合作伙伴和/或客户,包括支持全球能源生产、传输和分配工业控制系统的实体。”

联邦调查局表示,除了攻击供应链软件供应商外,同样的恶意软件还被用于攻击医疗保健、能源和金融公司。

inglabs指出,从威胁分析的观点来看,这个恶意软件最重要的部分是它的配置,因为它本质上是一个远程访问木马。

用新的IOCs列表增强对Kwampirs RAT恶意软件的安全防御

inglabs从对Kwampirs公开可用的YARA规则开始,并将该信息与Titanium平台在过去90天内收集的所有样本进行匹配。以下是他们的发现。

reverse inglabs从Kwampirs攻击中收集数据样本,编写一个可靠的恶意软件配置解析器,从样本中提取网络配置。

由reveringlabs收集的每个Kwampirs样本都带有一组200个控制服务器url。恶意操作通常在共享相同控制服务器基础结构的活动中执行。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。