inglabs分析了来自Kwampirs远程访问木马(RAT)的攻击线索,以帮助软件公司抵御这种恶意软件。
该安全公司在《解密Kwampirs RAT:从威胁狩猎到威胁情报》中指出,组织必须保护他们的软件开发环境,并确保他们的供应商不受损害。首席软件架构师和托米斯拉夫•Peričin ReversingLabs创始人之一,写的分析。
这家安全公司利用网络配置中留下的“面包屑”来记录恶意软件网络基础设施,这些网络基础设施支持了橙色蠕虫组织实施的攻击。赛门铁克在2018年首次确定了黑客及其首选武器。同年,赛门铁克还报告说,在许多医院系统中发现了Kwampirs恶意软件,包括x光机和核磁共振成像机,以及患者用来填写同意书的设备。
美国联邦调查局(FBI)最近警告称,雇佣Kwampirs的攻击现在已经演变为针对工业控制系统(ICS)领域的公司,尤其是能源领域的公司。
据ZDNet 2月初报道,美国联邦调查局在一份私人行业通知中表示:“据信,软件供应链公司是为了获取受害者的战略合作伙伴和/或客户,包括支持全球能源生产、传输和分配工业控制系统的实体。”
联邦调查局表示,除了攻击供应链软件供应商外,同样的恶意软件还被用于攻击医疗保健、能源和金融公司。
inglabs指出,从威胁分析的观点来看,这个恶意软件最重要的部分是它的配置,因为它本质上是一个远程访问木马。
inglabs从对Kwampirs公开可用的YARA规则开始,并将该信息与Titanium平台在过去90天内收集的所有样本进行匹配。以下是他们的发现。
reverse inglabs从Kwampirs攻击中收集数据样本,编写一个可靠的恶意软件配置解析器,从样本中提取网络配置。
由reveringlabs收集的每个Kwampirs样本都带有一组200个控制服务器url。恶意操作通常在共享相同控制服务器基础结构的活动中执行。