Multi-License Discount Quote
Banta sa Database Advanced Persistent Threat (APT) Vampire Bot Malware

Vampire Bot Malware

Sa pamamagitan ng Mezo sa Advanced Persistent Threat (APT), Malware
Isalin To:

Isang banta na nagsasalita ng Vietnamese na aktor na sinusubaybayan bilang BatShadow ay nagpapatakbo ng isang naka-target na kampanya na umaakit sa mga naghahanap ng trabaho at mga propesyonal sa digital-marketing sa pag-install ng dati nang hindi dokumentado na Go-based na malware na tinatawag ng mga mananaliksik na Vampire Bot. Ang grupo ay nagpapanggap bilang mga recruiter at namamahagi ng tila mga lehitimong paglalarawan ng trabaho at mga corporate na PDF na, kapag nakipag-ugnayan, nagti-trigger ng isang multi-stage na chain ng impeksyon at naghahatid ng malayuang pagsubaybay at mga kakayahan sa pagnanakaw ng data.

Social Engineering At Paghahatid ng Pang-akit

Gumagawa ang mga attacker ng mga mensahe sa istilo ng recruitment at ZIP attachment na naglalaman ng mga decoy na PDF file kasama ng mga malisyosong shortcut (LNK) o mga executable na nakakubli bilang mga PDF. Ang mga pang-akit ng dokumento ay partikular na naglalayon sa mga tungkulin sa marketing (isang pang-akit na tinukoy ang isang Marriott marketing job) upang mapataas ang kredibilidad sa mga nilalayong biktima. Hinihikayat ang mga biktima na 'i-preview' o i-download ang paglalarawan ng trabaho, na magsisimula sa pagkakasunud-sunod ng multi-stage na pagsasamantala.

Pag-unlad ng Chain ng Impeksyon

Kasama sa mga ZIP package ang isang nakakahamak na LNK na nagpapatakbo ng naka-embed na PowerShell script. Nakikipag-ugnayan ang script na iyon sa isang external na server upang kumuha ng pang-akit na PDF at isang hiwalay na ZIP bundle na naglalaman ng mga file na nauugnay sa XtraViewer (remote‑desktop software). Isinasagawa ang mga bahagi ng XtraViewer — malamang na magtatag ng pananatili o malayuang pag-access — at magpapatuloy ang chain hanggang sa ma-deploy ang Go executable.

Abusing Edge Redirects

Ang pangunahing trick sa campaign ay isang landing page na nagpapakita ng pekeng 'hindi sinusuportahang browser' na error at nagtuturo sa mga biktima na kopyahin ang URL at buksan ito sa Microsoft Edge. Ang mga naka-script na pag-redirect ay madalas na hinaharangan ng mga modernong browser, kaya umaasa ang mga umaatake sa pagkumbinsi sa user na magsagawa ng manu-manong pagkilos (kopyahin/i-paste sa Edge), na pagkatapos ay ituring bilang pinasimulan ng user at pinapayagan ang daloy ng pag-download na magpatuloy. Sa sandaling mabuksan sa Edge ang page ay nagpapakita ng isa pang pekeng error na nagsasabing na-compress ang PDF at 'ipinadala sa iyong device,' na nagti-trigger ng awtomatikong pag-download ng ZIP.

Payload At Decoy Naming Trick

Ang awtomatikong na-download na ZIP ay naglalaman ng sinasabing paglalarawan ng trabaho at isang nakakahamak na executable na pinangalanang lilitaw tulad ng isang PDF (halimbawa, 'Marriott_Marketing_Job_Description.pdf.exe'). Gumagamit ang executable ng filename padding (mga dagdag na espasyo sa pagitan ng '.pdf' at '.exe') kaya mukhang PDF ito sa ilang view, na nagdaragdag ng posibilidad na tatakbo ito ng mga biktima.

Mga Kakayahan Ng Vampire Bot

Ang nalaglag na executable ay isang Golang binary na tinatawag na Vampire Bot. Ang mga naobserbahang kakayahan nito ay kinabibilangan ng:

  • pag-enumerate at pag-profile ng infected host,
  • pagnanakaw ng malawak na hanay ng data (mga tindahan ng kredensyal, mga file, atbp.),
  • pagkuha ng mga screenshot sa isang mai-configure na iskedyul,
    at
  • pagpapanatili ng command-and-control na komunikasyon sa isang attacker server (iniulat bilang api3.samsungcareers.work) upang makatanggap ng mga command o mag-download ng mga karagdagang payload.

    • Pagpapatungkol At Imprastraktura

    Ini-link ng mga analyst ang aktibidad na ito sa Vietnam batay sa muling paggamit ng imprastraktura — halimbawa, isang IP address (103.124.95.161) na dating nauugnay sa mga operator na naka-link sa Vietnam — at sa mga pattern ng pag-target. Nauna nang na-target ng BatShadow ang mga propesyonal sa digital‑marketing at nag-o-overlap sa iba pang mga grupong Vietnamese na may motibasyon sa pananalapi na kilala sa pag-deploy ng mga magnanakaw na nang-hijack ng mga asset ng Facebook Business. Lumilitaw na naging aktibo ang grupo nang hindi bababa sa isang taon at dati nang gumamit ng mga domain gaya ng samsung-work.com para ipamahagi ang mga pamilya ng malware kabilang ang Agent Tesla, Lumma Stealer, Venom RAT, at, noong Oktubre 2024, mga campaign na namamahagi ng Quasar RAT sa pamamagitan ng mga file ng paglalarawan ng trabaho na nakakulong din sa booby.

    Bakit Epektibo ang Pag-atake?

    Pinagsasama ng BatShadow ang mga pang-akit na nauugnay sa industriya (mga ad ng trabaho sa marketing), mga trick ng filename, mga naka-stage na payload (upang maiwasan ang simpleng pag-scan ng file), at isang daloy na pumipilit sa isang manu-manong pagkilos ng browser na i-bypass ang mga scripted redirect na proteksyon. Ang pinaghalong social engineering at multi-stage na teknikal na hakbang ay nagpapataas ng mga pagkakataon ng matagumpay na kompromiso at pangmatagalang pag-access.

    Konklusyon

    Binibigyang-diin ng kampanya ng BatShadow kung gaano kabisa ang naka-target na social engineering kapag ipinares sa isang yugto, umiiwas na teknikal na chain. Ang mga organisasyong madalas na nagre-recruit o nangangasiwa sa trapiko ng aplikante — at mga propesyonal sa digital marketing na namamahala sa mga online na asset — ay dapat maghigpit sa paghawak ng mail/attachment, maglapat ng mahigpit na mga kontrol sa pagpapatupad, at ituring ang mga attachment sa istilo ng recruitment bilang mataas ang panganib hanggang sa ma-validate.

    Trending

    Pinaka Nanood

    Naglo-load...