六个月内,从最初作为其它威胁的加载器到信息窃取恶意软件,Valak 正在通过微软 Exchange 服务器窃取企业数据。
Valak 恶意软件被指主要攻击位于美国和德国的实体,此前它曾和 Ursnif 和 IcedID 银行木马 payload 捆绑使用。Valak 首次现身于2019年晚些时候,曾被网络安全研究员列为恶意软件加载工具。Cybereason公司 Nocturnus 团队认为它“复杂高深”,在过去6个月内经历了剧烈变化,发布超过20个版本,从加载工具摇身变为独立威胁。上周四,Nocturnus 团队表示 Valak已成为“针对个人和企业的信息窃取器”。通过使用包含恶意宏的微软 Word 文档发动钓鱼攻击登录机器后,会下载名为 “U.tmp” 的 .DLL 文件并保存到一个临时文件夹中。之后调用 WinExec API并下载 JavaScript 代码,从而创建和C2服务器的连接。之后会下载其它文件,通过 Base64和 XOR 解密器解密,随后部署主 payload。设置注册表键和值并创建计划任务以维护 Valak在受感染机器上的持久性。之后,Valak 下载并执行其它模块用于侦察和窃取数据。两个主要 payload,project.aspx 和 a.aspx执行不同功能。Project.aspx 管理注册表键、恶意活动的任务调度以及持久性,而a.aspx (在内部被称为 PluginHost.exe)是一个可执行文件,用于管理其它组件。Valak 的 “ManagedPlugin” 模块尤其耐人寻味。函数包含一个用于收集本地和域数据的系统信息采集器;”Exchgrabber” 函数旨在通过窃取凭据和域证书、地理位置验证程序、屏幕截图和 “Netrecon”(网络侦察工具)渗透微软 Exchange 服务器。另外,Valak 还会擦除受感染机器上的已有反病毒产品。Valak 的最新变体已出现在针对微软 Exchange 服务器的攻击活动中,这些攻击活动被指专门针对企业。研究人员表示,“提取这种敏感数据导致攻击者能够访问内部域名用户,获取企业的内部邮箱服务以及访问企业的域名证书。通过系统信息,攻击者可以识别出域名管理员的用户身份。这可导致敏感数据泄露以及大规模的网络监控或信息窃取的双重危险后果。同时它表明Valak 最重要的意向目标是企业。”目前,Valak 已更新至版本24。虽然 Valak、Ursnif 和 IcedID 之间的关联本质尚不清楚,但研究人员认为可能其中涉及“个人连接”和“相互信任”关系,而它的代码表明它可能和讲俄语的地下社区有关。
https://www.zdnet.com/article/valak-targets-microsoft-exchange-servers-to-steal-enterprise-data-in-active-campaigns/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~