LilithBot
LilithBot 是一種新的惡意軟件威脅,具有一系列廣泛的威脅功能,在 MaaS(惡意軟件即服務)計劃中提供。該威脅是跟踪為 Eternity(EternityTeam,Eternity Project)的威脅組織提供的黑客工具的一部分。這些網絡犯罪分子至少從 2022 年 1 月開始就活躍起來,並且與俄羅斯的“小丑集團”有聯繫。網絡安全研究人員在一份報告中向公眾披露了有關 LilithBot 及其開發人員的詳細信息。
根據他們的調查結果,LilithBot 正在通過一個專門的 Telegram 組提供給潛在的網絡犯罪客戶,並且可以通過指向 Tor 網絡上託管的網站的鏈接進行購買。該網站充當 Eternity 黑客產品的主頁,其中最昂貴的工具是勒索軟件威脅。
對於 LilithBot,威脅是一種複雜的惡意軟件,它將殭屍網絡的功能與加密礦工、剪裁器和竊取器的功能相結合。 Infosec 研究人員指出,LilithBot 在其開發過程中經歷了多次迭代,早期版本中存在的命令在以後的版本中被刪除。然而,研究人員警告說,威脅參與者可能仍會執行已刪除的功能,但會以更隱蔽的方式執行。
在受感染系統上激活時,威脅將首先將自己註冊為機器人。接下來,LilithBot 將自行解密以將其配置文件放到設備上。該惡意軟件使用自己的解密機制來防止被手動解密。威脅的竊取組件收集的信息包括瀏覽器歷史記錄、cookie 和個人數據,例如圖片。獲得的文件在發送到操作的命令和控制(C2、C&C)服務器之前被添加到 ZIP 存檔中。
LilithBot 利用假證書來增加其未被發現的機會。但是,已識別的證書似乎是由“Microsoft Code Signing PCA 2011”頒發的,但缺乏適當的驗證和會簽。
