莊家

一個鮮為人知的講中文的網絡犯罪集團正在開展攻擊行動,將竊取信息的惡意軟件部署到被破壞的設備上。來自 LuoYu 組的黑客攔截了合法應用程序的更新,並使用惡意負載切換它們,這就是所謂的人機攻擊。為了使感染成功,威脅參與者會主動監控他們選擇的受害者的網絡流量。當觀察到與亞洲市場上流行的軟件產品(如 QQ、Wanga Wang 或微信)相關的應用程序更新請求時,LouYu 黑客會用 WInDealer 惡意軟件的安裝程序替換它們。

在受害者的 Windows 系統上執行後,WinDealer 將允許攻擊者執行各種侵入性和惡意操作。威脅的主要功能之一與收集和隨後洩露機密和敏感數據有關。但是,黑客也可以依靠 WinDealer 安裝更專業的後門威脅,以保證其在設備上的持久性。 WinDealer 可以操作文件系統,掃描連接到同一網絡的其他設備,或運行任意命令。

該威脅的一個特殊特徵是它與命令與控制(C2、C&C)服務器的通信方式。洛語網絡犯罪分子沒有使用硬編碼的 C2 服務器,而是從中國西藏和貴州省創建了一個包含 48,000 個 IP 地址的池。該威脅將連接到該池中的一個隨機 ChinaNET (AS4134) IP 地址。卡巴斯基的網絡安全研究人員發布了有關羅宇和 WinDealer 的詳細信息,他們認為,由於能夠訪問 AS4134 內部的受感染路由器或利用 ISP 級別的執法工具,黑客能夠使用這種技術。另一種可能性是威脅行為者俱有公眾仍然不知道的內部方法。

熱門

最受關注

加載中...