视频游戏公司针对“偏执狂”PlugX恶意软件

  • 时间:
  • 浏览:25
  • 来源:it300
视频游戏公司针对“偏执狂”PlugX恶意软件

视频游戏行业和可能的其他行业的公司已成为攻击目标,涉及臭名昭着的PlugX远程访问木马(RAT)的改进变种。

Palo Alto Networks发现了几个有趣的PlugX样本被同一个威胁演员使用过。虽然该公司尚未提供有关这些攻击背后的行动者的任何细节,但PlugX经常被中国链接的威胁组织使用。

攻击始于一个名为“新工资结构2017.doc”的恶意Word文档, “它利用了CVE-2017-0199,一个已被多个威胁行为者使用的Office漏洞,包括与中国和伊朗有关的漏洞。

该漏洞会下载Windows安装程序文件和PowerShell脚本,似乎是基于开放的source Ruby利用库。这两个文件都可以加载一个shellcode,用于解压缩内存中的主要PlugX DLL。只有在检查虚拟环境时才会加载shellcode。

Palo Alto Networks分析的PlugX样本联系了几个包含命令和控制(C C)服务器地址的Pastebin URL。内容是通过已知的PlugX技术进行编码的。

研究人员将这些PlugX样本描述为“偏执狂”,因为负责执行恶意软件的批处理脚本也会尝试清理本身通过删除在安装和初始执行期间创建的所有文件,注册表项和UserAssist密钥条目。

“很明显,使用此PlugX的攻击者是偏执的关于它的d在磁盘上,在注册表和文件系统中都可以检测到。最重要的是,脚本不止一次地运行大多数删除命令,“专家在博客文章中说。 “结果是,应该没有证据表明恶意软件曾经在磁盘上执行过,这使得取证团队很难确定恶意软件是如何到达那里的,并且意味着需要基于内存或网络的检测来识别入侵。 “

研究人员注意到,在今年上半年,这些”偏执“样本的开发者还增加了绕过其目标可能使用的应用白名单技术的机制。他们通过使用名为“SubTee”的用户在GitHub上提供的代码实现了这一点,并且在某些情况下,他们还添加了一些自定义代码。

Palo Alto Networks报告说,这些攻击似乎主要针对视频游戏行业,该公司认为其他类型的组织也可能已成为目标。

相关阅读:Winnti Group使用GitHub进行CC通讯

相关阅读:中国网络犯罪以新恶意软件攻击俄罗斯

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01