威胁参与者正在滥用Microsoft Build Engine(MSBuild)来无休止地部署远程访问工具(RAT)和窃取信息的恶意软件,这是正在进行的活动的一部分。
MSBuild(msbuild.exe)是合法的开源Microsoft开发平台,类似于Unix make实用程序,用于构建应用程序。
如果提供了XML模式项目文件,该开发工具可以告诉任何如何自动执行构建过程(编译,打包,测试和部署)的工具,则可以在任何Windows系统上构建应用程序。
正如Anomali的威胁研究小组所观察到的那样,此活动中交付的恶意MSBuild项目文件捆绑了已编码的可执行文件,并对用于将最终有效载荷注入到新产生的进程的内存中的威胁参与者进行了外壳编码。
“尽管我们无法确定.proj文件的分发方法,但是这些文件的目标是执行Remcos或RedLine Stealer,”异常情报分析师Tara Gould和Gage Mele说。
专注于窃取凭据和其他敏感信息
上个月,攻击者开始将Remcos RAT,Quasar RAT和RedLine Stealer有效载荷推入受害者的计算机,而攻击仍在星期二进行,而距Anomali揭露研究结果只有两天。
一旦将RAT安装在目标系统上,就可以将它们用于收集击键,凭据和屏幕快照,禁用反恶意软件,获得持久性以及完全接管设备。
在攻击者部署了信息窃取程序的计算机上,该恶意软件将扫描Web浏览器,消息传递应用程序以及VPN和加密货币软件,以窃取用户凭据。
RedLine还可以从受害者设备上存储的配置文件和应用程序数据中收集和泄露系统信息,Cookie和加密钱包信息。
无文件恶意软件交付有助于逃避检测
使用Microsoft合法的MSBuild开发工具,攻击者可以成功逃避检测,同时将其恶意有效负载直接加载到目标计算机的内存中。
根据VirusTotal,此活动中使用的恶意软件样本没有被检测到,或者被数量很少的反恶意软件引擎检测到了。
无文件恶意软件进一步降低了发现攻击的可能性,因为没有在受害者的设备上写入任何实际文件,也没有在受感染设备的硬盘上留下有效负载的物理痕迹。
根据3月底发布的WatchGuard互联网安全报告,无文件恶意软件的交付量在2019年至2020年之间大幅增长,基于WatchGuard Panda产品收集的一年的端点威胁情报数据,其飙升了888%。
“这场运动背后的威胁行动者使用无文件传递作为绕过安全措施的一种方式,行动者将这种技术用于各种目标和动机,” Anomali总结说。
“这项运动突出表明,仅依靠防病毒软件不足以实现网络防御,并且使用合法代码将恶意软件隐藏在防病毒技术中是有效的并且呈指数级增长。”
*编译:Domino
*来自:bleepingcomputer