多年来,一个神秘团伙几乎每天都会推出多款木马化的黑客工具,感染黑客并获得访问其计算机的权限。网络安全企业 Cybereason 发布报告表示,这些木马化的工具受 njRAT 恶意软件某版本的感染,导致该神秘组织能够完全访问其它黑客的计算机。该公司的安全战略副总裁 Amit Serper 表示,“与我而言,它就像某人或某群人正在获得访问更多机器的聪明捷径。他们并没有积极地入侵机器,而是将工具木马化,免费传播并入侵使用这些工具的人群。”
Serper 表示,调查团队在调查该黑客团伙的活动时追踪到1000多款 njRAT 样本,但该攻击活动的规模要比已发现的更大。这些木马化的样本已存在多年时间,Serper 认为新的迭代版本几乎每天都在推出。Cybereason 公司表示,这些后门工具专门在旨在分享免费黑客工具的黑客论坛和博客上分享。其中某些木马化应用程序本质上是黑客工具,而其它一些是破解后的程序,可使准黑客字在无需购买许可证的情况下使用商业黑客工具。研究人员找到的木马化黑客工具包括网站爬虫器、利用扫描器、谷歌 dork 生成器、自动化 SQL 注入执行工具、暴力攻击执行工具以及验证被泄凭证有效性的工具。另外,Cybereason 表示它还找到了 Chrome 浏览器的木马化版本,它同时带有相同的 njRAT 远程访问木马。
Serper 表示,研究团队分析的很多木马化应用被配置为回拨到两个域名之一:其中最常用的是 capeturk.com 域名,Serper 表示该域名是通过某越南人的凭证进行注册的。虽然域名所有人的详情经常遭伪造,尤其是域名用于恶意软件活动中的情况,但 Serper 还注意到其中很多木马化黑客工具通过一个越南 IP 地址上传到 VirusTotal 恶意软件扫描引擎中。Serper 认为,该黑客组织似乎在将恶意软件样本部署到黑客论坛、博客等地方之前会测试 VirusTota 对恶意软件样本的检测成功率。然而,Cybereason 公司表示,使用越南IP 地址以及和域名详情之间的关联表明该黑客团伙很可能就位于越南。总之,该黑客团伙使用的技术并不新鲜。其他黑客曾选择在免费发布的黑客工具中安装后门的方式走捷径。例如,Proofpoint 公司曾发布报告称发现YouTube 视频正在广告安装后门的钓鱼工具包。这种技术非常常见,是无需其它黑客活动就能够访问被黑数据访问权限的简单方法。他们这样做的目的是让其它黑客下载这些黑客工具,花费数周时间收集数据之后通过后门窃取这些数据,而在本案例中,这个后门是 njRAT 远程访问木马。
https://www.zdnet.com/article/years-long-campaign-targets-hackers-through-hacking-tools/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。