以前未被发现的VictoryGate僵尸网络已经感染了35,000台设备

专家设法使VictoryGate僵尸网络的几台C2服务器陷入了困境,这些服务器已经感染了35,000多台设备,并通过受感染的USB设备进行传播。

VictoryGate僵尸网络至少从2019年5月开始活跃,该僵尸网络在拉丁美洲的活跃程度最高。超过90%的受感染设备位于秘鲁。ESET的专家设法使数台C2服务器陷入困境,并拆除了以前未记录的由35,000多个设备组成的僵尸网络。

VictoryGate僵尸程序通过受感染的USB设备传播,它旨在挖掘Monero滥用受感染设备的资源,还能够提供其他有效负载。该机器人感染了属于公共和私营部门(包括金融机构)组织的设备。 

ESET研究人员艾伦·沃伯顿(Alan Warburton)解释说: “受害者会收到USB驱动器,该USB驱动器有时已连接到受感染的计算机。” “它似乎具有被感染前所包含的相同名称和图标的所有文件。因此,乍一看内容几乎是相同的。但是,所有原始文件都被恶意软件的副本所取代。当毫无戒心的用户尝试打开这些文件之一时,脚本将同时打开预期的文件和恶意负载。”

VictoryGate僵尸网络仅使用在动态DNS提供商No-IP上注册的子域来控制受感染的设备。在No-IP和非营利性Shadowserver基金会的帮助下,这家安全公司能够将它们全部摧毁。

专家注意到资源占用率很高,他们报告说CPU负载持续在90-99%,从而减慢了受感染设备的速度,并导致过热甚至损坏它。

研究人员观察到的唯一传播媒介是通过可移动设备,恶意代码将USB驱动器上的所有文件复制到根目录下的隐藏目录,然后使用动态编译的Windows可执行文件(AutoIt脚本)作为明显的名字。

USB驱动器看上去对受害者来说是正常的,但是当他们试图打开文件时,脚本会启动目标文件和bot的初始模块,后者 会将自身复制到 %AppData%并将快捷方式放置在启动文件夹中,在下一次重新启动时实现持久性。

“该模块是大约200 MB的.NET程序集,其中包含带有垃圾字节的巨大数组。这样可以避免某些具有文件大小或其他资源消耗限制的安全产品进行扫描。” 继续分析。“该数组还包含XORed和gzip压缩的DLL,该DLL在运行时使用.NET Reflection API解密并通过后期绑定调用加载。”

该机器人可以将经过AutoIt编译的脚本注入合法的Windows进程中,以与命令和控制(C&C)服务器进行通信,它还可以下载并执行其他有效负载。该脚本还会扫描连接的USB驱动器以进行感染。

注入的AutoIt代理还会不断扫描以检测是否已连接新的USB驱动器,然后它将用传播脚本替换其包含的文件并隐藏原始文件。

僵尸程序尝试以AutoIt编译脚本的形式下载有效载荷,该脚本试图将XMRig挖掘软件注入ucsvc.exe(引导文件服务实用程序)进程。

该恶意软件使用分层/ XMRig代理来隐藏挖掘池,并在用户打开任务管理器时终止挖掘过程,以避免显示CPU使用率。

对沉没活动的分析表明,平均每天有2,000台设备在挖掘。专家估计,平均哈希速率为150H / s,这意味着僵尸网络运营商已获得至少80 Monero(约合6000美元)的收入。

“尽管我们做出了努力,但受感染的USB驱动器将继续流通,并且仍将继续发生新的感染。主要区别在于,僵尸程序将不再从C&C接收命令。” ESET总结“这将防止新的受害者从互联网上下载辅助负载。但是,那些在中断之前被感染的PC可能会继续代表botmaster进行加密挖矿。”

 

*编译:Domino

*来自:securityaffairs