新型惡意軟體家族VERMIN在針對烏克蘭的網路間諜活動中被發現

「用指尖改變世界」

Palo Alto Networks公司的 Unit 42威脅研究團隊在本月發現了一起已經開展了兩年時間的網路間諜活動，並將目標瞄準了烏克蘭。黑客在活動中主要採用了兩種惡意軟體：Quasar Rat和VERMIN。

Quasar RAT是一個開源的惡意軟體家族，一種遠程訪問工具。在早前就已經被用於一些攻擊活動中，包括網路犯罪和網路間諜活動。

相對Quasar RAT而言，VERMIN則是一個新出現的惡意軟體家族。它是使用Microsoft .NET Framework編寫的，且大部分都是原始代碼，這說明它絕不是任何一個惡意軟體家族的分支。

它能夠收集受感染系統的擊鍵和剪貼板數據，能夠刪除、上傳和下載文件，能夠重命名文件和文件夾以及捕獲音頻和視頻。

VERMIN通過網路釣魚電子郵件的附件分發，這通常是一個SFX文件(自解壓文件)，它包含一個誘餌文檔，看起來像是來自烏克蘭國防部的一份正式命令。當受害者打開時，便會感染惡意軟體。

研究人員還發現，VERMIN還罕見地使用了HTTP封裝的簡單對象訪問協議(SOAP)，這是一種用於交換結構化信息的基於XML的協議，用於命令和控制(C2)，這在惡意軟體樣本中是不常見的。

在進一步調查後，研究人員很快發現了更多的Vermin樣本，揭開了一個更加龐大的命令和控制(C2)基礎設施網路。

許多樣本甚至沒有選擇使用誘餌文件。相反，它們只包含有效載荷和一個偽裝成文檔查看器(如Microsoft Word)的圖標。

在初始執行之後，Vermin會檢查受害者的系統是否配置了俄語作為安裝的輸入語言。如果未設置為俄語，Vermin便將執行API調用並解密包含通信和遠程控制功能主代碼的嵌入資源。這無形中透露出，黑客似乎想要排除那些使用俄語的人，而不會對他們發起攻擊。

根據Vermin所使用的實際變數名稱，它會收集以下信息：設備名稱、用戶名、操作系統版本、體系結構(32位和64位)、本地IP地址和是否運行有防病毒軟體。如果檢測到防病毒軟體，Vermin則不會安裝鍵盤記錄程序。

Palo Alto Networks表示，他們無法確定黑客的具體目標或者有哪些數據遭到了竊取。但從誘餌文件的主題定位以及受害者的情況來看，Vermin的確表現為被用於向烏克蘭發起有針對性的攻擊。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！