全球数百家组织机构遭 Qrypter RAT 攻击

阅读量135727

发布时间 : 2018-03-16 16:05:01

x
译文声明

本文是翻译文章,文章原作者 Ionut Arghire,文章来源:www.securityweek.com

原文地址:https://www.securityweek.com/qrypter-rat-hits-hundreds-organizations-worldwide

译文仅供参考,具体内容表达以及含义原文为准。

 

 

Forcepoint 公司指出,全球数百家组织机构遭到一系列用 Qrypter 远程访问木马 (RAT) 的攻击。

 

首次现身于2016年

这款恶意软件常被误认为 Adwind 跨平台后门,已存在多年,是由地下组织 “QUA R&D” 开发的,这个组织提供了一个恶意软件即服务 (MaaS) 平台。

Qrypter 又被称为 “Qarallax”、”Quaverse”、”QRAT” 和 “Qontroller”,它是一种基于 Java 的 RAT,利用基于 TOR 的命令和控制服务器。它首次于2016年6月被详细披露,当时的攻击目标主要针对申请美国签证的瑞士人。

Qrypter 恶意软件一般是通过恶意邮件活动传播的,这些恶意邮件活动仅包含数百份信息。然而,Qrypter 持续不断地现身,2018年2月出现了三起和 Qrypter 相关的活动,共有243 家组织机构受影响。

在受害者系统上执行后,Qrypter 在 %Temp% 文件夹中释放并运行两个 VBS 文件,每个文件中都包含一个随机文件名称。这两个脚本旨在收集安装在计算机上的防火墙和反病毒产品信息。

 

通过论坛提供技术支持,能躲避所有反病毒检测

Qrypter 的租赁价格是80美元,接受 PerfectMoney、比特币现金 (BCC) 或比特币。感兴趣的买家如购买三个月或一年的服务可享受优惠价。

和 Qrypter 服务支付相关的老旧比特币地址似乎共收到1.69个比特币(折合1.35万美元)。然而,这只是恶意软件作者使用的其中一个地址,也就是说他们的收入可能更高。

Qrypter 恶意软件开发人员通过名为“黑白人 (Black&White Guys)”的论坛向客户提供支持,该论坛目前的注册用户超过2300人。

研究人员从这个论坛的内容中发现了 QUA R&D 的运作方式。该组织的目的似乎是让客户开心,并且经常给用户发消息向客户确保他们的加密服务(5美元)可完全躲避反病毒供应商的检测。

Forcepoint 公司指出,“确实保证自己的产品完全无法被检测到是该组织的主要优势,而且也解释了为何近两年之后 Qrypter 仍然基本无法被反病毒供应商检测到。”

除了和客户交互外,该论坛还用于吸引潜在的分销商,后者可获得优惠码以帮助在黑客提升 Qrypter 的热度。另外,Qrypter 的老旧版本向客户免费提供,而 QUA R&D 的战略也包括破解竞争对手的产品、创造关于竞争的心理恐惧战术。

Forcepoint 公司总结称,“虽然 Qrypter 的恶意软件即服务相对较为便宜,但 QUA R&D 偶尔发布遭破解的竞争对手产品的事实可大大增加在野攻击,因为人人都可免费获取这些功能强大的犯罪软件。”

本文翻译自www.securityweek.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66