与AridViper跟踪的活动威胁组链接的新发现Windows信息窃取恶意软件显示出迹象,表明它可能被用来感染运行Linux和macOS的计算机。
在调查AridViper活动(也称为沙漠猎鹰和APT-C-23)时发现了这种新木马,称为第42单元PyMICROPSIA,这是 至少讲自2011年以来将阿拉伯语集中在中东目标上的一组阿拉伯语网络间谍。
卡巴斯基实验室全球研究与分析团队(GReAT)称,AridViper主要在巴勒斯坦,埃及和土耳其开展业务,2015年,受害的受害者人数超过3,000 [PDF]。
在代码中发现了新的攻击媒介
虽然PyMICROPSIA是一种基于Python的恶意软件,使用通过PyInstaller生成的Windows二进制文件专门针对Windows系统,但Unit 42还发现了代码片段,表明其创建者可能正在努力添加多平台支持。
“ PyMICROPSIA旨在仅针对Windows操作系统,但是代码包含用于检查其他操作系统(例如’posix’或’darwin’)的有趣代码段,” -Unit 42。
“这是一个有趣的发现,因为我们以前没有目睹过AridViper针对这些操作系统的情况,这可能代表了参与者开始探索的新领域。”
尽管如此,这些检查可能是由恶意软件的开发人员在从其他“项目”粘贴粘贴代码时引入的,并且很可能会在以后的PyMICROPSIA木马版本中删除。
数据盗窃和其他有效载荷的交付
当涉及到该木马的功能时,Unit 42在分析从受攻击者的命令和控制(C2)服务器下载的受感染设备和有效载荷(不是基于Python)上发现的恶意软件样本时,已经挖掘出许多功能。
信息窃取和控制功能的列表包括数据盗窃,设备控制和其他有效载荷传递功能。
功能的完整列表包括但不限于:
- 文件上传。
- 有效负载下载和执行。
- 浏览器凭证窃取。清除浏览历史记录和配置文件。
- 截屏。
- 键盘记录。
- 压缩RAR文件以获取被盗信息。
- 收集过程信息并终止过程。
- 收集文件列表信息。
- 删除文件。
- 重新启动机器。
- 收集Outlook .ost文件。杀死并禁用Outlook进程。
- 删除,创建,压缩和泄漏文件和文件夹。
- 从USB驱动器收集信息,包括文件渗透。
- 声音录制。
- 执行命令。
PyMICROPSIA利用Python库的广泛用途,从信息和文件盗用到Windows进程,文件系统和注册表交互。
使用GetAsyncKeyState API实现的木马按键记录功能是它从C2服务器下载的单独有效负载的一部分。
通过在受感染计算机的Windows启动文件夹中删除.LNK快捷方式,下载的有效负载也可用于获得持久性。
但是,PyMICROPSIA也将采用其他持久性方法,包括设置专用注册表项,这些注册表项
将在系统重启后重新启动恶意软件。
根据Unit 42在PyMICROPSIA和AridViper的MICROPSIA恶意软件之间发现的联系,该威胁参与者“保持了非常活跃的开发概况,创建了试图绕过目标防御的新植入物”。
*编译:Domino
*来自:bleepingcomputer