恶意软件活动试图滥用防御程序二进制文件
💡
原文中文,约5300字,阅读约需13分钟。
📝
内容提要
Sophos研究人员发现了一种勒索软件攻击活动,该活动修改合法的Sophos可执行文件和DLL文件,以伪装成合法文件。攻击活动包括多种恶意载荷,包括Cobalt Strike和Brute Ratel。攻击者还滥用其他防御程序并使用过期的数字签名,目的是欺骗用户和避免被检测。受影响的文件是Sophos的Windows Endpoint产品版本2022.4.3。调查仍在进行中,已经确定了400多个IoC条目。
🎯
关键要点
- Sophos研究人员发现勒索软件活动,修改合法的Sophos可执行文件和DLL文件。
- 攻击活动包括多种恶意载荷,如Cobalt Strike和Brute Ratel。
- 攻击者滥用其他防御程序,使用过期的数字签名以欺骗用户。
- 受影响的文件为Sophos Windows Endpoint产品2022.4.3版本。
- 调查发现超过400个IoC条目,攻击者使用不同的恶意软件。
- 恶意文件通过覆盖入口点代码和插入解密有效载荷伪装成合法文件。
- 研究人员发现攻击者滥用AVG、BitDefender、Emsisoft和微软的文件。
- 恶意载荷通过JavaScript加载程序和电子邮件传播。
- 调查仍在进行中,发现多个文件被不同的破坏企图滥用。
- Palo Alto Networks也发现了同样的活动,并发布相关信息。
- Bitdefender承认其文件被滥用,但表示其产品不易受到此类攻击。
➡️
