Cybereason表示,最常被惡意程式Valak用來作為感染媒介的是Word文件,駭客在郵件中夾帶了含有惡意巨集的Word文件,成功進駐使用者系統之後,就能與駭客所設立的C&C伺服器建立連結,以下載其它的惡意模組。(圖片來源/Cybereason)

美國資安業者Cybereason近日揭露了一個去年底才出現的惡意程式Valak,指出它最初只被歸類為惡意程式下載器(malware loader),但短短的半年內,它就釋出了超過30個不同的版本,同時演變成一個至少具備6個模組的複雜惡意程式,其中一個惡意模組可用來竊取微軟的Exchange伺服器憑證。

根據研究人員的分析,Valak主要被用來執行目標式攻擊,對象包括個人,以及美國與德國的大型企業。

最常被Valak用來作為感染媒介的是Word文件,駭客在郵件中夾帶了含有惡意巨集的Word文件,成功進駐使用者系統之後,就能與駭客所設立的C&C伺服器建立連結,以下載其它的惡意模組,目前至少觀察到6種不同的惡意模組,分別可用來探測系統資訊、確認目標對象的所在地、蒐集受害系統的執行程序、執行網路偵測、捕獲受害電腦的螢幕截圖,以及竊取Exchange的憑證以入侵企業的電子郵件系統。

分析顯示,此一名為Exchgrabber的惡意模組主要用來汲取Exchange伺服器的資料,包括網域的密碼與憑證,取得這些機密資料將允許駭客進入企業內部電子郵件服務的網域,藉由其它模組則能得知網域管理員的身分,進而執行大規模的間諜行動,也彰顯了駭客的頭號目標就是大型企業。

除了發展出複雜的惡意模組以外,Valak也棄用了容易被偵測到的PowerShell,而採用諸如ADS等進階的躲避技術。

研究人員認為,Valak日益增長的能力使得它可獨立使用,不必再搭配其它的惡意程式,即便如此,Valak作者似乎正與其它惡意程式作者合作,以打造出更加危險的惡意程式,應加以警惕。


Advertisement

更多 iThome相關內容