Purple Fox是一种以前通过漏洞利用工具包和网络钓鱼电子邮件分发的恶意软件,现在添加了一个蠕虫模块,可让它扫描并感染正在进行的攻击中可通过Internet访问的Windows系统。
该恶意软件具有rootkit和后门功能,最初 在感染至少30,000设备后于2018年被发现 ,并用作部署其他恶意软件菌株的下载器。
Purple Fox开发套件模块也有针对性的Windows系统在过去[ 1, 2 ]利用内存腐败和特权漏洞的上升后,感染通过Web浏览器的Windows用户。
根据Guardicore Labs安全研究人员Amit Serper和Ophir Harpaz的说法,从2020年5月开始,紫狐的攻击已大大加剧,总共发生了90,000起攻击,感染次数增加了600%。
暴露于Internet的Windows设备面临风险
基于使用Guardicore全球传感器网络(GGSN)收集的遥测,该恶意软件的活动端口扫描和利用尝试于去年年底开始。
在扫描通过Internet可以访问的设备并发现暴露的Windows系统后,Purple Fox的新添加的蠕虫模块使用SMB密码暴力破解了该文件。
根据Guardicore Labs的报告,到目前为止,Purple Fox已将其恶意软件删除程序和其他模块部署在广泛的bot网络中,该网络由近2,000台受感染的服务器组成 。
僵尸网络中陷入困境的设备包括运行IIS版本7.5和Microsoft FTP的Windows Server计算机以及运行Microsoft RPC,Microsoft Server SQL Server 2008 R2和Microsoft HTTPAPI httpd 2.0以及Microsoft终端服务的服务器。
紫狐的新蠕虫行为使它可以通过易受攻击的Internet暴露的SMB服务强行入侵服务器,从而感染服务器,同时它还利用网络钓鱼活动和Web浏览器漏洞来部署其有效负载。
“在我们的研究中,我们发现基础设施似乎是由易受攻击和被利用的服务器(托管恶意软件的初始有效负载),受感染的计算机(这些蠕虫活动的节点)以及服务器基础结构组成的杂物库组成的似乎与其他恶意软件活动有关。” Serper和Harpaz说。
开源rootkit用于获得持久性
在重新启动受感染的设备并获得持久性之前,Purple Fox还安装了一个rootkit模块,该模块使用隐藏的开源rootkit来隐藏被删除的文件和文件夹或在受感染系统上创建的Windows注册表项。
部署rootkit并重新启动设备后,该恶意软件将重命名其DLL负载以匹配Windows系统DLL,并将其配置为在系统启动时启动。
一旦在系统启动时执行了恶意软件,每个受感染的系统将随后表现出相同的蠕虫样行为,不断地在Internet上扫描其他目标,并试图破坏它们并将其添加到僵尸网络中。
Guardicore Labs总结说:“当计算机响应在端口445上发送的SMB探测时,它将尝试通过强行强制使用用户名和密码或尝试建立空会话来向SMB进行身份验证。”
“如果身份验证成功,则恶意软件将创建名称与正则表达式AC0 [0-9] {1}相匹配的服务,例如AC01,AC02,AC05(如前所述),该服务将从以下其中之一下载MSI安装包:许多HTTP服务器,因此将完成感染循环。”
该GitHub存储库中提供了危害指标(IOC),包括Purple Fox MSI投递站点和回连接服务器 。
*编译:Domino
*来自:bleepingcomputer