铁网络犯罪集团使用基于HackingTeam的RCS监控的新后门

安全公司Intezer的安全专家最近发现了与铁网络犯罪组的操作相关的后门,这是基于泄漏的源代码 遥控系统(RCS).

遥控系统(RCS)是由此开发的监视软件 黑客攻击,它被认为是一种强大的恶意软件,能够感染秘密监视的移动设备。 RCS能够拦截加密通信,包括电子邮件和VoIP语音呼叫(例如Skype),移动版本,可用于所有OSS(苹果安卓,Symbian和BlackBerry),也能够完全控制手机及其组件,包括相机,麦克风和GPS模块。

铁网络犯罪组自2016年以来一直活跃,为铁赎金软件而闻名,而是在多年来,它建立了各种恶意软件,包括后门,加密电脑矿工和勒索软件来定位移动和桌面系统。

“2018年4月,在监控公共数据源的同时,我们注意到使用HackingTeam泄露的RCS源代码进行了一个有趣和以前未知的后门。” states the 报告 由...出版 inreiz.

“我们发现这次后门是由铁网络犯罪集团开发的,同一组在铁赎金软件后面(RIP-Off Maktub勒索厂  最近由Bart Parys发现),我们认为过去18个月已经活跃。”

犯罪团伙使用的恶意软件已经感染了成千上万的受害者。

专家分析的新后门使用使用VMProtect的安装程序和使用UPX进行压缩,恶意代码能够确定它是否在虚拟机中运行。

恶意软件首先删除并安装恶意铬扩展,创建一个计划任务,创建一个互斥锁,以确保只能运行一个实例,将后门DLL丢弃到%localappdata%\ temp \ try<random>.DAT,然后检查操作系统版本以确定后门启动。

如果检测QHIOO360产品的存在,恶意软件会停止执行。它还安装恶意证书以签署作为root ca的后门二进制,然后创建一个返回后门的服务。

后台的分析显示它在其Ironstealer和Iron Ransomware系列中使用了两个主要功能,从HackingTeam的“士兵”植入物和来自HackingTeam的“核心”库的动态广告模块借来的VM检测代码。

恶意软件使用了流行的修补版本 adblock plus 镀铬扩展注入浏览器加密挖掘模块(基于 Cryptonoter.)和浏览器支付劫持模块。

延期在后台持续运行,作为基于隐形主机的加密矿工。每分钟,恶意软件检查Chrome是否正在运行,如果它没有,可以静静地启动它。

“一旦用户打开,恶意扩展不仅加载 浏览器,而且在后台上也不断运行,作为基于隐形托管的加密矿工。恶意软件设置一个预定的任务,检查Chrome是否已在运行中,每 分钟,如果不是,它会“沉默 - 发射”它”继续分析。

后门还包括Adblock Plus,IE能够注入远程JavaScript,然而,不再自动使用功能。

恶意软件会自动解密一个硬编码的shellcode,可以在内存中加载Cobalt Strive Beacon,并从硬编码的Pastebin地址获取有效载荷URL。

恶意代码能够删除两个恶意软件。追踪“JBossminer采矿蠕虫”的变种作为西门,铁赎金。

该组使用恶意软件从受害者的工作站窃取加密电源,Iron BackDoor丢弃了最新的VoidTool,所有搜索实用程序并默默地安装它以使用它来查找可能包含加密货币钱包的文件。

“Ironstealer不断监视用户的剪贴板,为比特币,Monero&Etreeum钱包地址正则表达式模式。一旦匹配,它将自动用攻击者的钱包地址替换它,以便受害者会在不知不觉中将资金转移到攻击者的账户中,“专家解释说。

在研究人员发布的博客文章中报告了更多细节,包括IOC。

[Adrotate Banner =”9″] [Adrotate Banner =”12″]

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请