在最近的一起网络安全事件中,一种针对俄罗斯大型组织的复杂后门程序被揭露。受影响的领域包括政府、金融和工业部门。Kaspersky Labs 在调查攻击的同时,已经发布了初步调查结果,以帮助处于风险中的组织采取防护措施。
调查发现,该后门程序的攻击目标是连接到 ViPNet 网络的计算机。ViPNet 是一套用于创建安全网络的软件套件。其传播方式涉及 LZH 格式的压缩档案,这些档案被精心伪装成合法的软件更新。这些档案中包含多种文件,有 “action.inf:文本文件”、“lumpdiag.exe:合法可执行文件”、“msinfo32.exe:小型恶意可执行文件” 以及 “包含有效载荷的加密文件”。ViPNet 的开发者已确认了这些针对性攻击,并已为其用户提供了安全更新和相关建议。
此次攻击采用了一种巧妙的执行方法。“action.inf” 文本文件中包含一个由 ViPNet 更新服务组件(“itcsrvup64.exe”)处理的操作:
[ACTION]
action=extra_command
extra_command=lumpdiag.exe –msconfig
这条命令会使用 “–msconfig” 参数来启动合法文件 “lumpdiag.exe”。然而,“lumpdiag.exe” 存在路径替换漏洞,这使得攻击者能够执行恶意文件 “msinfo32.exe”。
“msinfo32.exe” 文件充当了加载器的角色,它会对后门程序进行解密并将其加载到内存中。这个后门程序能够通过传输控制协议(TCP)连接到命令与控制(C2)服务器,使攻击者能够窃取文件并启动更多恶意组件。Kaspersky 的解决方案将这种威胁检测为 HEUR:Trojan.Win32.Loader.gen。
Kaspersky Labs 强调,网络攻击正变得日益复杂。“攻击者可以以极不寻常且出人意料的方式针对组织发起攻击”,这凸显了采用多层纵深防御安全策略的必要性。
发表评论
您还未登录,请先登录。
登录