该工具被称为SystemBC,它作为一个后门,为攻击者提供与受害者系统的持久连接。
Sophos实验室的研究人员一直在追踪一种在地下黑客论坛上提供的新型勒索软件工具,该工具已经演变成一种Tor代理和远程控制工具,目前正在野外使用。
该工具被称为SystemBC,它作为一个后门,为攻击者提供与受害者系统的持久连接。
去年首次被观察到,它既可以作为网络代理进行隐蔽的通信,也可以作为远程管理工具(RAT),能够执行Windows命令,以及传递和执行脚本、恶意可执行文件和动态链接库(DLL)。
- 我们汇总了最好的恶意软件清除软件列表
- 这些是市场上最好的灾难恢复服务
- 同时查看我们对最佳勒索软件防护的综述
SystemBC在过去的一年里,从通过SOCKS5代理作为虚拟专用网络(VPN),发展到使用Tor网络加密和隐藏命令和控制流量的目的地。
SystemBC RAT
在最近的调查过程中,Sophos MTR的快速响应团队看到SystemBC在最近的Ryuk和Egregor勒索软件攻击中被使用,尽管它经常与Cobalt Strike等其他爆炸后工具一起使用。然而,在某些情况下,SystemBC RAT是在攻击者获得管理凭证并深入到目标网络后部署到服务器上的。
部署时,该工具会将自己作为服务进行复制和调度,但如果在受害者的系统中检测到Emsisoft防病毒软件,则会跳过这一步。然后,SystemBC会使用信标连接到一个命令和控制服务器,建立一个连接,连接到基于两个硬编码域之一的远程服务器。
在一篇新的博客文章中,Sophos的高级威胁研究员Sean Gallagher和威胁研究员Sivagnanam Gn对SystemBC现在如何连接到Tor网络提供了进一步的见解,他说。
“SystemBC的Tor通信元素似乎是基于mini-tor,这是一个用于轻量级连接Tor匿名网络的开源库。mini-Tor的代码并没有在SystemBC中重复(因为mini-Tor是用C++编写的,而SystemBC是从C语言编译而来的)。但该机器人对Tor客户端的实现与开源程序中使用的实现非常相似,包括其大量使用Windows Crypto Next Gen(CNG)API的基础加密(BCrypt)函数。”
由于SystemBC经常作为现成的工具部署,其很可能是勒索软件攻击者从地下论坛的恶意软件即服务操作中获取的。由于该工具可以同时对多个目标进行工作,因此在网络犯罪分子中越来越受欢迎。
Anwangxia.com原创文章,作者:anwangxia,如若转载,请注明出处:https://www.anwangxia.com/593.html
比特币捐赠
相关推荐
-
报道称暗网勒索团伙LockBit正在经历一场严重的危机
西方著名信息安全记者DiMaggio表示,LockBit在发布受害者数据时面临一些问题,而该组织的成员试图利用两大暗网论坛(Exploit 和 XSS——俄罗斯网络犯罪分子经常使用的两个论坛)上的说服性宣传,来掩盖LockBit经常无法及时发布被盗数据的事实。
-
Tor网络的私密性和安全性如何?
Tor浏览器在暗网用户中非常受欢迎,因为它可以为他们提供匿名性。这造成了一种误解,认为Tor浏览器是非法的或仅由网络犯罪分子使用,但事实并非如此。许多人只是为了增加隐私和安全性而使用Tor,而且该浏览器在大多数国家/地区都是合法的。
-
研究称:暗网是恐怖活动的推动者
本文讨论了恐怖组织如何利用暗网招募人员、煽动极端主义和散布虚假信息,探讨了暗网在恐怖活动中的作用以及暗网的生态系统对国家安全的影响,强调了执法和监管机构在监测和打击暗网上的恐怖活动方面面临的挑战,强调了全球合作的必要性。
-
数字货币真能颠覆美元霸权吗?中国距离全面数字货币化有多远?
以中国央行信用为基础的数字货币CDEP,能在多大程度上影响当今世界的货币体系?
-
勒索软件团伙的主谋在暗网上分享了过多信息后被Group-IB的安全研究人员发现
来认识一下“farnetwork”,它是最多产的勒索软件团伙RaaS运营商之一,他在一次附属机构的“工作面试”中泄露了太多细节。