【安全资讯】SMOKEDHAM后门:UNC2465的隐秘武器用于敲诈和勒索活动

安恒恒脑 2024-11-28 19:07:10 145人浏览

概要:

近年来,网络安全威胁不断演变,其中UNC2465组织利用SMOKEDHAM后门进行复杂的敲诈和勒索活动,成为网络安全领域最具适应性和持久性的威胁之一。SMOKEDHAM后门自2019年起活跃,已对全球多个组织造成了严重影响。

主要内容:

SMOKEDHAM后门是一种高度适应性的恶意工具,通常通过伪装成合法软件的木马安装程序传播。UNC2465利用这些伪装的安装程序,如KeyStore Explorer和Angry IP Scanner,来投放SMOKEDHAM有效载荷。一旦成功植入,攻击者便可以获得目标系统的初始访问权限,进而进行网络侦察、横向移动,最终部署勒索软件。

该后门的感染过程采用了隐秘技术,包括DLL侧加载和PowerShell混淆。攻击者通过恶意广告在Google Ads等平台分发伪装的安装程序,这些程序看似合法,但实际上包含SMOKEDHAM有效载荷。后门还会修改Windows服务的配置,以实现持久性和权限提升。

UNC2465在后续活动中使用多种工具进行网络侦察和凭证收集,如Advanced IP Scanner和Mimikatz等。此外,SMOKEDHAM与其指挥控制(C2)服务器的通信具有高度的隐蔽性和韧性,利用动态C2 URL和加密通信进行数据外泄和命令执行。这种恶意软件的复杂性和隐蔽性使其成为全球组织面临的重要威胁。
勒索软件 恶意代码 金融 科技公司
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。