圖片來源: 

ZeroFox Intelligence

安全廠商發現一隻具有多種能力的新殭屍網路程式Kraken,不但會竊取Windows PC資訊、還會挖礦及執行惡意程式。

這隻新發現的殭屍網路程式Kraken,和2018年發現同名的勒索軟體是不同的兩隻。安全廠商ZeroFox指出,Kraken早期版本於2021年10月上傳到GitHub, 屬於Golang專案,不過,究竟是該GitHub專案屬於惡意組織,或是駭客利用GitHub專案來撰寫Kraken則不得而知。

圖片來源/ZeroFox Intelligence

Kraken背後的目的為何不明,但研究人員指出,雖然它功能很簡單,但功能快速增進中,目前已具有滲透潛伏、蒐集主機資料、下載和執行惡意檔案、執行shell指令、取得網路擷圖、竊取加密貨幣錢包等多種功能。

目前的Kraken版本是經由後門程式SmokeLoader下載RAR SFX檔到Windows PC,再解封包安裝。而利用SmokeLoader後門散布,使攻擊者每次轉換到新的C&C伺服器時,就能快速感染數百臺電腦。

圖片來源/ZeroFox Intelligence

安裝時Kraken會用兩個方法維持長駐在PC中。首先,它透過執行Powershell指令告訴Microsoft Defender防毒引擎跳過Kraken安裝的目錄,二是執行attrib隱藏指令,使其複製的.EXE檔無法經由檔案總管顯示。此外它還會加入新機碼以便每次用戶登入Windows PC都會執行一次。

從去年10月到12月,Kraken行動主要是散布竊密工具,特別是RedLine Stealer以蒐集PC的資料回傳給外部C&C伺服器。上周HP安全研究人員才發現,另一波攻擊透過偽裝Windows更新程式,誘使用戶安裝 RealLine竊密程式。而在這波攻擊中,Kraken蒐集的資料包括主機和用戶名稱、Windows 版本、CPU及GPU資訊等等,外部駭客還可下達擷圖指令以C&C接收資訊。

ZeroFox也觀察到某些受害者電腦被Kraken安裝了其他竊密程式及挖礦軟體。目前它已經每月進帳3,000美元。

研究人員建議用戶將防毒及入侵偵測軟體更新到最新版、啟動雙因素驗證以降低釣魚及帳號填充(credential stuffing)攻擊,並避免開啟來路不明的信件附檔或連結。

熱門新聞

Advertisement