Pemasang Trojan apl pemesejan Telegram digunakan untuk menggunakan pintu belakang Purple Fox berasaskan Windows kepada sistem yang terjejas. Itu menurut penyelidikan baharu yang diterbitkan oleh Minerva Labs, yang menggambarkan serangan itu berbeza daripada penceroboh yang biasanya mengeksploitasi perisian yang sah untuk melepaskan muatan berniat jahat.
"Pelakon ancaman ini dapat mengekalkan sebahagian besar serangan di bawah radar dengan memecahkan serangan itu kepada beberapa fail kecil, yang kebanyakannya mempunyai kadar pengesanan yang sangat rendah oleh enjin [antivirus], langkah terakhir yang mengetuai jangkitan rootkit Purple Fox, kata penyelidik Natalie Zargarov.
Pertama kali ditemui pada 2018, Purple Fox hadir dengan keupayaan rootkit yang membolehkan perisian malware ditanam di luar jangkauan penyelesaian keselamatan dan mengelak pengesanan. Laporan Mac 2021 daripada Guardicore memperincikan ciri penyebaran seperti cacingnya, membolehkan pintu belakang merebak dengan lebih pantas.
Kemudian, pada Oktober 2021, penyelidik Trend Micro menemui implan .NET yang digelar FoxSocket yang diedarkan dengan kerjasama Purple Fox yang menggunakan WebSockets untuk menghubungi pelayan arahan dan kawalannya (C2) untuk mendapatkan cara yang lebih selamat untuk mewujudkan komunikasi.
"Keupayaan rootkit Purple Fox menjadikannya lebih mampu mencapai matlamatnya dengan cara yang lebih tersembunyi, " kata para penyelidik. “Mereka membenarkan Purple Fox untuk berterusan pada sistem yang terjejas dan menyampaikan muatan tambahan kepada sistem yang terjejas.
Akhir sekali, pada Disember 2021, Trend Micro turut menjelaskan peringkat akhir rantaian jangkitan Purple Fox, menyasarkan pangkalan data SQL dengan memasukkan modul masa jalan bahasa biasa (CLR) SQL yang berniat jahat untuk mencapai pelaksanaan yang berterusan dan lebih senyap dan akhirnya menyalahgunakan pelayan SQL untuk perlombongan mata wang kripto haram.
Rangkaian serangan baharu yang diperhatikan oleh Minerva bermula dengan fail pemasang Telegram, skrip AutoIt yang menerbitkan pemasang yang sah untuk aplikasi sembang dan pemuat turun berniat jahat yang dipanggil "TextInputh.exe", yang kedua dilaksanakan untuk mendapatkan perisian malware seterusnya daripada pelayan C2.
Kemudian fail yang dimuat turun menyekat proses yang dikaitkan dengan enjin antivirus yang berbeza, sebelum beralih ke langkah terakhir memuat turun dan menjalankan rootkit Purple Fox dari pelayan jauh yang kini tidak berfungsi. Pemasang yang menyediakan versi rootkit Purple Fox yang sama menggunakan rantai serangan yang sama, "kata Zargarov.
“ Beberapa nampaknya telah dihantar melalui e-mel, manakala yang lain, kami andaikan, dimuat turun daripada pancingan data tapak web. Keindahan serangan ini ialah setiap langkah adalah berasingan untuk fail yang berbeza, yang tidak diperlukan tanpa semua fail.
SUMBER
Catat Ulasan