恶意软件活动试图滥用防御程序二进制文件
💡
原文中文,约5300字,阅读约需13分钟。
📝
内容提要
Sophos研究人员发现了一种勒索软件攻击活动,该活动修改合法的Sophos可执行文件和DLL文件,以伪装成合法文件。攻击活动包括多种恶意载荷,包括Cobalt Strike和Brute Ratel。攻击者还滥用其他防御程序并使用过期的数字签名,目的是欺骗用户和避免被检测。受影响的文件是Sophos的Windows Endpoint产品版本2022.4.3。调查仍在进行中,已经确定了400多个IoC条目。
🎯
关键要点
- Sophos研究人员发现勒索软件活动,修改合法的Sophos可执行文件和DLL文件。
- 攻击活动包括多种恶意载荷,如Cobalt Strike和Brute Ratel。
- 攻击者滥用其他防御程序,使用过期的数字签名以欺骗用户。
- 受影响的文件为Sophos Windows Endpoint产品2022.4.3版本。
- 调查发现超过400个IoC条目,攻击者使用不同的恶意软件。
- 恶意文件通过覆盖入口点代码和插入解密有效载荷伪装成合法文件。
- 研究人员发现攻击者滥用AVG、BitDefender、Emsisoft和微软的文件。
- 恶意载荷通过JavaScript加载程序和电子邮件传播。
- 调查仍在进行中,发现多个文件被不同的破坏企图滥用。
- Palo Alto Networks也发现了同样的活动,并发布相关信息。
- Bitdefender承认其文件被滥用,但表示其产品不易受到此类攻击。
❓
延伸问答
Sophos研究人员发现了什么类型的恶意软件活动?
Sophos研究人员发现了一种勒索软件活动,该活动通过修改合法的可执行文件和DLL文件来伪装成合法文件。
攻击者是如何伪装成合法文件的?
攻击者通过覆盖入口点代码和插入解密有效载荷,将恶意文件伪装成合法文件。
受影响的Sophos产品版本是什么?
受影响的文件是Sophos的Windows Endpoint产品版本2022.4.3。
攻击者使用了哪些恶意载荷?
攻击者使用了多种恶意载荷,包括Cobalt Strike和Brute Ratel。
调查中发现了多少个IoC条目?
调查发现超过400个IoC条目。
Palo Alto Networks对这一活动有什么发现?
Palo Alto Networks也发现了同样的活动,并发布了相关信息。
➡️
