正文 首页值得一看

黑吃黑——黑客组织通过黑客工具攻击其他黑客

事在人为

在过去的几年中,一个神秘的组织几乎每天都在制作木马黑客工具,这些工具旨在感染其他黑客并获得其计算机的访问权限。

根据网络安全公司 Cybereason 近日发布的报告,木马工具感染了 njRAT 恶意软件,该恶意软件使该神秘组织能够完全访问其他黑客的计算机。

Cybereason 安全策略副总裁 Amit Serper 对 ZDNet 表示:“似乎某个人或一群人正在为访问更多计算机提供相当巧妙的捷径。”

Serper 说:“此组织采取的不是主动入侵机器,而是对工具进行木马化,免费传播它们,然后对使用工具的人进行黑客攻击。”这是网络犯罪现场的一种古老策略,即黑客窃取其竞争对手的数据。

数以千计的木马黑客工具,可以追溯到几年前

Serper 说,Cybereason Nocturnus 调查小组在调查该小组的活动时追踪了 1000 多个 njRAT 样本,但是该活动看上去比他们发现的规模更大,范围更广。

木马样本可以追溯到数年前,Serper 说新的迭代几乎每天都在发布。

根据 Cybereason 的说法,后门工具正在黑客论坛和专门共享免费黑客工具的博客上在线共享。一些木马化的应用程序是彻头彻尾的黑客工具,而另一些是破解程序,允许想要使用商业黑客工具的黑客无需支付许可证。

Cybereason 发现被木马化的黑客工具包括站点抓取工具,漏洞扫描程序,Google dork 生成器,用于执行自动 SQL 注入的工具,用于发起暴力攻击的工具以及用于验证泄漏凭证有效性的工具。

此外,Cybereason 还说它发现了 Chrome 浏览器的木马版本,也带有相同的 njRAT 远程访问木马。

根据 Serper 的说法,Cybereason 团队分析的许多木马应用程序都配置为回调到两个域之一。在这两个域名中,使用最多的是 capeturk.com 域名,Serper 说该域名是使用越南人的身份注册的。

尽管黑客通常会伪造有关域所有者的详细信息,尤其是在恶意软件活动中使用某个域时,Serper 还指出,在此次攻击中许多木马化的黑客工具都是从越南IP地址上传到 VirusTotal 恶意软件扫描引擎上的。

根据 Serper 的说法,黑客小组似乎已经在 VirusTotal 上测试了其恶意软件样本的检测率,然后才将其部署到黑客论坛,博客或其他地方。

然而,Cybeeason 说,结合域名的详细信息,使用越南 IP 进行 VirusTotal 上载是一个强有力的标志,表明该团伙很有可能位于该国。

古老的战术

总而言之,该小组的策略本身并不新鲜。其他黑客曾考虑通过将后门置于其免费发布的黑客工具中来走捷径。

例如,2016 年的 Proofpoint 报告发现,大量的后门钓鱼工具包通过 YouTube 视频进行广告宣传,这些钓鱼工具包将钓鱼数据的副本发送回了原始作者。

该策略非常普遍,是一种无需进行大量黑客攻击即可获取被黑客入侵数据的简单方法。这个想法是让其他黑客下载黑客工具,花数周时间收集数据,然后使用后门(在本例中为 njRAT 远程访问木马)窃取数据。