【安全资讯】DarkGate恶意软件通过新策略和电子邮件模板进行传播

安恒恒脑 2024-06-12 10:23:48 1081人浏览

概要:

近期,Cisco Talos团队发现了一系列新的恶意邮件活动,这些邮件包含一个可疑的Microsoft Excel附件,一旦打开,便会感染受害者的系统,植入DarkGate恶意软件。这些活动自3月第二周起活跃,采用了此前未见的战术、技术和程序(TTPs),通过远程模板注入技术绕过电子邮件安全控制,诱使用户下载并执行恶意代码。

主要内容:

这些恶意邮件活动主要通过附带的Excel文档进行传播,这些文档利用远程模板注入技术,自动下载并执行托管在远程服务器上的恶意内容。远程模板注入是一种攻击技术,利用Excel的合法功能,从外部来源导入模板,扩展文档的功能和特性。通过利用用户对文档文件的信任,这种方法巧妙地规避了对文档模板不如可执行文件严格的安全协议。

DarkGate恶意软件家族以其隐蔽的传播技术、信息窃取能力、规避策略以及对个人和组织的广泛影响而著称。最近,DarkGate通过Microsoft Teams和恶意广告活动分发恶意软件。在最新的活动中,攻击者使用了AutoHotKey脚本代替AutoIT脚本,表明DarkGate攻击者在不断演变其感染链以逃避检测。

根据Cisco Talos的遥测数据,这些活动主要针对美国,医疗技术和电信是最主要的目标行业,但也观察到针对广泛行业的活动。这些恶意邮件主要涉及财务或官方事务,迫使收件人通过打开附件采取行动。初步调查将这些活动的妥协指标(IOCs)与DarkGate恶意软件联系起来。

在技术分析中,恶意Excel文档包含一个嵌入对象,链接到攻击者控制的服务器消息块(SMB)文件共享。当Excel文件打开时,它会从攻击者控制的服务器下载并执行一个VBS文件。该VBS文件附带一个命令,从DarkGate命令和控制(C2)服务器执行一个PowerShell脚本。该PowerShell脚本检索下一阶段的组件并执行它们。

DarkGate恶意软件通过使用合法的AutoHotKey二进制文件(AutoHotKey.exe)执行恶意的AHK脚本(script.ahk),在内存中直接执行恶意软件有效载荷,而无需将其写入磁盘。感染过程的最终阶段组件存储在特定目录位置,并通过在启动目录中创建快捷方式文件来建立跨重启的持久性。

Cisco Talos的威胁情报和检测响应团队已经成功开发了这些活动的检测方法,并在Cisco Secure产品中适当阻止了它们。然而,DarkGate活动的不断演变提醒我们,网络安全领域的军备竞赛仍在继续。
恶意软件 网络攻击 美国 医疗技术 电信
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。