SocGholish恶意软件通过广告工具传播 为LockBit和Evil Corp等团伙提供初始访问权限
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
恶意软件SocGholish通过伪装成软件更新传播,利用流量分发系统筛选用户并重定向至恶意内容。该组织将感染系统的访问权转售给其他网络犯罪团伙,并与Evil Corp等团伙协同攻击,使用动态C2框架监控受害者以确保有效载荷投递。
🎯
关键要点
- SocGholish恶意软件通过伪装成软件更新传播,利用流量分发系统筛选用户并重定向至恶意内容。
- 该恶意软件被归因于代号TA569的威胁组织,采用恶意软件即服务模式。
- SocGholish感染通常源自被入侵的网站,攻击者通过多种方式进行注入。
- 流量分发系统如Parrot TDS和Keitaro TDS被滥用,攻击者根据用户指纹识别进行重定向。
- SocGholish与多个网络犯罪团伙协同攻击,包括Evil Corp、LockBit和Dridex。
- 动态C2框架监控受害者,确保有效载荷投递,并在判定受害者'不合法'时停止投递。
- Raspberry Robin的新变种采用改进的混淆方法和网络通信流程,强化反检测能力。
- 恶意软件技术升级,Raspberry Robin新增本地提权漏洞利用功能,DarkCloud窃密程序也在进化。
❓
延伸问答
SocGholish恶意软件是如何传播的?
SocGholish恶意软件通过伪装成软件更新,利用被入侵的网站进行传播。
SocGholish恶意软件的主要功能是什么?
SocGholish主要用于建立初始访问权限,并将感染系统的访问权转售给其他网络犯罪团伙。
哪些网络犯罪团伙与SocGholish有关联?
SocGholish与Evil Corp、LockBit、Dridex等多个网络犯罪团伙协同攻击。
流量分发系统在SocGholish攻击中扮演什么角色?
流量分发系统如Parrot TDS和Keitaro TDS被用来筛选用户并重定向至恶意内容。
SocGholish恶意软件的监控机制是怎样的?
SocGholish使用动态C2框架监控受害者,确保有效载荷的投递,并在判定受害者'不合法'时停止投递。
Raspberry Robin与SocGholish的关系是什么?
Raspberry Robin被用作SocGholish的分发载体,且其新变种增强了反检测能力。
🏷️
标签
➡️
