庄家
一个鲜为人知的讲中文的网络犯罪组织正在开展攻击行动,将窃取信息的恶意软件部署到被破坏的设备上。来自 LuoYu 组的黑客拦截了合法应用程序的更新,并使用恶意负载切换它们,这就是所谓的人工攻击。为了使感染成功,威胁参与者会主动监控他们选择的受害者的网络流量。当观察到与亚洲市场上流行的软件产品(如 QQ、Wanga Wang 或微信)相关的应用程序更新请求时,RouYu 黑客会用 WInDealer 恶意软件的安装程序替换它们。
在受害者的 Windows 系统上执行后,WinDealer 将允许攻击者执行各种侵入性和恶意操作。威胁的主要功能之一与收集和随后泄露机密和敏感数据有关。但是,黑客也可以依靠 WinDealer 安装更专业的后门威胁,以保证其在设备上的持久性。 WinDealer 可以操作文件系统,扫描连接到同一网络的其他设备,或运行任意命令。
该威胁的一个特殊特征是它与命令与控制(C2、C&C)服务器的通信方式。洛语网络犯罪分子没有使用硬编码的 C2 服务器,而是从中国西藏和贵州省创建了一个包含 48,000 个 IP 地址的池。该威胁将连接到该池中的一个随机 ChinaNET (AS4134) IP 地址。卡巴斯基的网络安全研究人员发布了有关罗宇和 WinDealer 的详细信息,他们认为,由于能够访问 AS4134 内部的受感染路由器或利用 ISP 级别的执法工具,黑客能够使用这种技术。另一种可能性是威胁行为者具有公众仍然不知道的内部方法。
