技術支援
文件
登錄
聯繫我們
攻擊者通過惡意 JAR 和多語言檔分發惡意軟體
奧班拉·奧佩耶米
實施期間: 2023年1月26 日 - TuxCare專家團隊
Deep Instinct 研究人員報告說,像 StrRAT 和 Ratty 這樣的 RAT 通過多語言和 JAR 檔在 2022 年的活動中使用。這兩種威脅似乎都向同一台 C2 伺服器報告,這意味著這是一個專注於利用他們發現的漏洞的小組。
這個新的RAT分發活動將JAR和MSI檔格式合併到一個檔中。另一方面,MSI+JAR 多語言技術是在 2019 年發現的,被分配了一個 CVE 編號 – CVE-2020-1464,甚至被修補了。值得注意的是,修復似乎還不夠。
據報導,威脅行為者在逃避防病毒引擎的檢測方面取得了一定的成功。考慮到這兩個RAT的年齡和有據可查的多大,這一點很重要。StrRAT有效負載被用於同時使用JAR和MSI檔格式的活動,表明它可以同時使用Windows和Java運行時環境執行。
根據該報告,另一項活動涉及使用CAB和JAR多語言部署StrRAT和Ratty,並使用URL縮短服務 rebrand.ly 和 cutt.ly 來傳播工件。
Sendgrid 和 URL 縮短服務(如 Cutt.ly 和 Rebrand.ly)用於分發此活動中的多語言,而檢索到的 StrRAT 和 Ratty 有效負載存儲在 Discord 中。
在檢測方面,CAB/JAR 多語言在 Virus Total 上的 59 個 AV 引擎中產生 6 個陽性,而 MSI/JAR 多語言由 30 個安全供應商識別。因此,檢出率在 10% 到 50% 之間變化。
它通過網路釣魚獲得初始訪問許可權;網路安全專家通過使用 URL 縮短器欺騙不知情的受害者,在各種惡意環境中發現了這個危險的連結:重塑品牌[。LY/AFJLFVP.為避免檢測,使用簽名的 MSI 檔,該文件觀察為:85d8949119dad6215ae0a21261b037af。
“對JAR文件的正確檢測應該是靜態和動態的。掃描每個檔以查找檔末尾是否存在中央目錄記錄的末尾效率低下。防禦者應該同時監控“java”和“javaw”進程。報告稱,如果這樣的進程將“-jar”作為參數,則作為參數傳遞的檔名應被視為JAR檔,而不管文件擴展名或Linux“file”命令的輸出如何。
這篇文章的來源包括 BleepingComputer上的一篇文章。
