HackerNews 编译,转载请注明出处:
网络安全研究人员发现,以经济利益为动机的网络犯罪团伙FIN7正在利用一种名为Anubis的基于Python的后门程序,劫持被入侵的Windows系统。
瑞士网络安全公司PRODAFT在一份技术报告中指出,这种恶意软件允许攻击者执行远程Shell命令和其他系统操作,从而完全控制被感染的机器。
FIN7也被称为Carbon Spider、ELBRUS、Gold Niagara、Sangria Tempest和Savage Ladybug,是一个以俄罗斯为背景的网络犯罪团伙。该团伙以不断演变和扩展的恶意软件家族而闻名,这些恶意软件家族用于获取初始访问权限和数据窃取。近年来,该团伙被认为已转变为勒索软件的附属组织。
2024年7月,该团伙被发现使用多个在线别名宣传一种名为AuKill(又称AvNeutralizer)的工具,该工具能够终止安全工具,可能是为了多元化其盈利策略。
Anubis后门被认为通过恶意垃圾邮件活动传播,通常诱使受害者执行托管在被入侵的SharePoint网站上的恶意负载。该恶意软件以ZIP存档的形式交付,感染的入口点是一个Python脚本,该脚本设计用于直接在内存中解密并执行主要混淆的有效负载。一旦启动,该后门会通过TCP套接字以Base64编码格式与远程服务器建立通信。
服务器的响应同样以Base64编码,允许该后门收集主机的IP地址、上传/下载文件、更改当前工作目录、获取环境变量、修改Windows注册表、使用PythonMemoryModule将DLL文件加载到内存中,并终止自身。
德国安全公司GDATA在对Anubis进行独立分析时发现,该后门还支持将操作员提供的响应作为受害者系统上的Shell命令运行。PRODAFT表示:“这使得攻击者能够在不直接在受感染系统上存储这些功能的情况下,执行诸如键盘记录、截屏或窃取密码等操作。通过尽可能保持后门的轻量化,攻击者降低了被检测的风险,同时保持了执行进一步恶意活动的灵活性。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
